Quy định về bảo vệ dữ liệu cá nhân trên Facebook, Zalo, Tiktok, Instagram & Nguyên tắc bảo vệ dữ liệu cá nhân & Xử lý vi phạm pháp luật về bảo vệ dữ liệu cá nhân từ ngày 01/01/2026 như thế nào?
1. Quy định về bảo vệ dữ liệu cá nhân trên Facebook, Zalo, Tiktok, Instagram
Căn cứ theo Điều 29 Luật Bảo vệ dữ liệu cá nhân 2025 (chính thức có hiệu lực kể từ ngày 01/01/2026) thì việc bảo vệ dữ liệu cá nhân trên các nền tảng Facebook, Zalo, Tiktok, Instagram được quy định như sau:
Tổ chức, cá nhân cung cấp dịch vụ mạng xã hội, dịch vụ truyền thông trực tuyến có trách nhiệm sau đây:
(1) Thông báo rõ ràng nội dung dữ liệu cá nhân thu thập khi chủ thể dữ liệu cá nhân cài đặt và sử dụng mạng xã hội, dịch vụ truyền thông trực tuyến; không thu thập trái phép dữ liệu cá nhân và ngoài phạm vi theo thỏa thuận với khách hàng;
(2) Không được yêu cầu cung cấp hình ảnh, video chứa nội dung đầy đủ hoặc một phần giấy tờ tùy thân làm yếu tố xác thực tài khoản;
(3) Cung cấp lựa chọn cho phép người dùng từ chối thu thập và chia sẻ tệp dữ liệu (gọi là cookies);
(4) Cung cấp lựa chọn “không theo dõi” hoặc chỉ được theo dõi hoạt động sử dụng mạng xã hội, dịch vụ truyền thông trực tuyến khi có sự đồng ý của người sử dụng;
(5) Không nghe lén, nghe trộm hoặc ghi âm cuộc gọi và đọc tin nhắn văn bản khi không có sự đồng ý của chủ thể dữ liệu cá nhân, trừ trường hợp pháp luật có quy định khác;
(6) Công khai chính sách bảo mật, giải thích rõ cách thức thu thập, sử dụng và chia sẻ dữ liệu cá nhân; cung cấp cho người dùng cơ chế truy cập, chỉnh sửa, xóa dữ liệu và thiết lập quyền riêng tư cho dữ liệu cá nhân, báo cáo các vi phạm về bảo mật và quyền riêng tư; bảo vệ dữ liệu cá nhân của công dân Việt Nam khi chuyển dữ liệu xuyên biên giới; xây dựng quy trình xử lý vi phạm về bảo vệ dữ liệu cá nhân nhanh chóng và hiệu quả.
2. Nguyên tắc bảo vệ dữ liệu cá nhân
Căn cứ theo Điều 3 Luật Bảo vệ dữ liệu cá nhân 2025 thì nguyên tắc bảo vệ dữ liệu cá nhân từ 01/01/2026 như sau:
(1) Tuân thủ quy định của Hiến pháp, quy định của Luật Bảo vệ dữ liệu cá nhân 2025 và quy định khác của pháp luật có liên quan.
(2) Chỉ được thu thập, xử lý dữ liệu cá nhân đúng phạm vi, mục đích cụ thể, rõ ràng, bảo đảm tuân thủ quy định của pháp luật.
(3) Bảo đảm tính chính xác của dữ liệu cá nhân và được chỉnh sửa, cập nhật, bổ sung khi cần thiết; được lưu trữ trong khoảng thời gian phù hợp với mục đích xử lý dữ liệu cá nhân, trừ trường hợp pháp luật có quy định khác.
(4) Thực hiện đồng bộ có hiệu quả các biện pháp, giải pháp về thể chế, kỹ thuật, con người phù hợp để bảo vệ dữ liệu cá nhân.
(5) Chủ động phòng ngừa, phát hiện, ngăn chặn, đấu tranh, xử lý kịp thời, nghiêm minh mọi hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân.
(6) Bảo vệ dữ liệu cá nhân gắn với bảo vệ lợi ích quốc gia, dân tộc, phục vụ phát triển kinh tế – xã hội, bảo đảm quốc phòng, an ninh và đối ngoại; bảo đảm hài hòa giữa bảo vệ dữ liệu cá nhân với bảo vệ quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân.
3. Xử lý vi phạm pháp luật về bảo vệ dữ liệu cá nhân
Căn cứ theo Điều 8 Luật Bảo vệ dữ liệu cá nhân 2025 thì việc xử lý vi phạm pháp luật về bảo vệ dữ liệu cá nhân bao gồm:
(1) Tổ chức, cá nhân có hành vi vi phạm quy định của Luật Bảo vệ dữ liệu cá nhân 2025 và quy định khác của pháp luật có liên quan đến bảo vệ dữ liệu cá nhân thì tùy theo tính chất, mức độ, hậu quả của hành vi vi phạm có thể bị xử phạt hành chính hoặc bị truy cứu trách nhiệm hình sự; nếu gây thiệt hại thì phải bồi thường theo quy định của pháp luật.
(2) Việc xử phạt vi phạm hành chính trong lĩnh vực bảo vệ dữ liệu cá nhân thực hiện theo quy định tại các khoản 3, 4, 5, 6 và 7 Điều 8 Luật Bảo vệ dữ liệu cá nhân 2025 và pháp luật về xử lý vi phạm hành chính.
(3) Mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với hành vi mua, bán dữ liệu cá nhân là 10 lần khoản thu có được từ hành vi vi phạm; trường hợp không có khoản thu từ hành vi vi phạm hoặc mức phạt tính theo khoản thu có được từ hành vi vi phạm thấp hơn mức phạt tiền tối đa quy định tại khoản 5 Điều 8 Luật Bảo vệ dữ liệu cá nhân 2025 thì áp dụng mức phạt tiền theo quy định tại khoản 5 Điều này.
(4) Mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với tổ chức có hành vi vi phạm quy định chuyển dữ liệu cá nhân xuyên biên giới là 5% doanh thu của năm trước liền kề của tổ chức đó; trường hợp không có doanh thu của năm trước liền kề hoặc mức phạt tính theo doanh thu thấp hơn mức phạt tiền tối đa theo quy định tại khoản 5 Điều này thì áp dụng mức phạt tiền theo quy định tại khoản 5 Điều 8 Luật Bảo vệ dữ liệu cá nhân 2025.
(5) Mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với các hành vi vi phạm khác trong lĩnh vực bảo vệ dữ liệu cá nhân là 03 tỷ đồng.
(6) Mức phạt tiền tối đa quy định tại các khoản 3, 4 và 5 Điều 8 Luật Bảo vệ dữ liệu cá nhân 2025 được áp dụng đối với tổ chức; cá nhân thực hiện cùng hành vi vi phạm thì mức phạt tiền tối đa bằng một phần hai mức phạt tiền đối với tổ chức.
(7) Chính phủ quy định phương pháp tính khoản thu có được từ việc thực hiện hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân.
