📋 Luật số 91/2025/QH15 · Hiệu lực từ 01/01/2026

Luật Bảo Vệ
Dữ Liệu Cá Nhân
2025 – Doanh Nghiệp
Cần Biết Gì?

Toàn bộ hướng dẫn về Luật Dữ liệu 2025 tại Việt Nam: quy định pháp lý, mức phạt vi phạm, quyền người dùng và lộ trình tuân thủ thực tế. 689Cloud — đối tác công nghệ giúp tổ chức của bạn tuân thủ đúng hạn, an toàn và hiệu quả.

Tư Vấn Tuân Thủ Miễn PhíXem Giải Pháp
Hiệu lực 01/01/2026
Phạt đến 5% doanh thu
6 quyền của người dùng
⚠️Mức Phạt Vi Phạm Dữ Liệu
  • 💰
    Vi phạm thông thường
    Tối đa 3 tỷ đồng
    Cho các hành vi vi phạm bảo vệ dữ liệu cá nhân thông thường
  • 📊
    Chuyển dữ liệu xuyên biên giới
    Tối đa 5% doanh thu
    Áp dụng cho vi phạm quy định chuyển dữ liệu cá nhân ra nước ngoài
  • 🚫
    Mua bán dữ liệu trái phép
    Phạt 10x lợi nhuận
    Gấp 10 lần khoản thu bất hợp pháp từ hành vi vi phạm
  • ⚖️
    Vi phạm nghiêm trọng
    Truy cứu hình sự
    Và bồi thường dân sự theo quy định pháp luật
🗓️
Luật có hiệu lực từ 01/01/2026 Bắt đầu chuẩn bị ngay hôm nay
01/01/2026
Ngày hiệu lực
Luật số 91/2025/QH15
5%
Doanh thu bị phạt tối đa khi vi phạm
quy định chuyển dữ liệu xuyên biên giới
14,5M+
Tài khoản người dùng VN
bị rò rỉ trong năm 2024
93%
Doanh nghiệp VN đã ứng dụng
AI hoặc nền tảng số
Tổng quan Luật Dữ liệu

Luật Bảo Vệ Dữ Liệu Cá Nhân 2025 Là Gì?

Luật Bảo vệ Dữ liệu Cá nhân (Luật số 91/2025/QH15) được Quốc hội Việt Nam thông qua ngày 26/6/2025, chính thức có hiệu lực từ 01/01/2026. Đây là luật chuyên biệt đầu tiên của Việt Nam về bảo vệ dữ liệu cá nhân, thiết lập khung pháp lý toàn diện cho việc thu thập, xử lý, lưu trữ và chuyển giao dữ liệu cá nhân.
📌

Tại sao Luật này quan trọng?

Dữ liệu cá nhân đang được thu thập ở quy mô chưa từng có trong lịch sử số hóa tại Việt Nam. Mỗi giao dịch, mỗi đăng ký, mỗi lần dùng ứng dụng — đều tạo ra dữ liệu cá nhân. Luật này đặt ra nghĩa vụ rõ ràng cho tất cả tổ chức xử lý dữ liệu đó, kể cả tổ chức nước ngoài hoạt động tại Việt Nam.
🌐

Phạm vi áp dụng toàn cầu

Luật áp dụng cho mọi tổ chức — trong nước lẫn quốc tế — thu thập và xử lý dữ liệu cá nhân của người dùng tại Việt Nam. Dù máy chủ của bạn đặt ở Singapore, Mỹ hay bất kỳ đâu, miễn là xử lý dữ liệu người Việt Nam thì vẫn thuộc phạm vi điều chỉnh của Luật.
3 Trụ cột của Luật 2025
🛡️
Bảo vệ quyền cá nhânTrao cho người dùng 6 quyền cơ bản đối với dữ liệu cá nhân của mình
📋
Trách nhiệm tổ chứcĐặt nghĩa vụ pháp lý rõ ràng cho mọi tổ chức thu thập và xử lý dữ liệu
⚖️
Chế tài nghiêm khắcMức phạt hành chính, hình sự và bồi thường dân sự có tính răn đe cao
Nhận Tư Vấn Tuân Thủ Miễn Phí →
Đối tượng áp dụng

Luật Áp Dụng Cho Ai?

Bất kỳ tổ chức nào thu thập, lưu trữ hoặc xử lý dữ liệu cá nhân của người dùng tại Việt Nam đều phải tuân thủ — không có ngoại lệ theo quy mô hay ngành nghề.

🏦

Tài chính & Ngân hàng

Ngân hàng, công ty fintech, bảo hiểm xử lý khối lượng dữ liệu tài chính nhạy cảm. Rủi ro vi phạm cao nhất và hậu quả pháp lý lớn nhất.

🏥

Y tế & Sức khỏe

Bệnh viện, phòng khám, ứng dụng sức khỏe xử lý dữ liệu y tế — thuộc nhóm dữ liệu nhạy cảm được bảo vệ đặc biệt theo Luật.

🛒

Thương mại điện tử

Sàn TMĐT, ứng dụng mua sắm, giao hàng thu thập dữ liệu khách hàng, lịch sử giao dịch, vị trí địa lý — tất cả đều thuộc phạm vi Luật.

🎓

Giáo dục & EdTech

Trường học, nền tảng học trực tuyến xử lý dữ liệu của học sinh, sinh viên — bao gồm cả người dưới 16 tuổi cần bảo vệ đặc biệt.

🏭

Doanh nghiệp sản xuất & B2B

Mọi doanh nghiệp có hệ thống CRM, HR, quản lý khách hàng hay nhà cung cấp đều lưu trữ dữ liệu cá nhân cần tuân thủ.

🌐

Công ty đa quốc gia

Các tập đoàn nước ngoài có hoạt động tại Việt Nam hoặc phục vụ người dùng Việt Nam đều bắt buộc tuân thủ, dù máy chủ đặt ở đâu.

Quyền chủ thể dữ liệu

6 Quyền Cơ Bản Của Người Dùng

Luật Dữ liệu 2025 trao cho mỗi cá nhân 6 quyền quan trọng. Doanh nghiệp có nghĩa vụ tôn trọng và đảm bảo các quyền này trong mọi quy trình xử lý dữ liệu.
01

Quyền Được Biết

Cá nhân có quyền được thông báo rõ ràng về việc thu thập, mục đích, phạm vi và thời hạn lưu trữ dữ liệu của mình.

02

Quyền Đồng Ý (Opt-in/Out)

Cá nhân quyết định có cho phép thu thập hay không, và có thể rút lại sự đồng ý bất cứ lúc nào. Không được mặc định chấp thuận.

03

Quyền Truy Cập & Chỉnh Sửa

Cá nhân có thể xem và yêu cầu chỉnh sửa dữ liệu cá nhân mà doanh nghiệp lưu giữ, đảm bảo thông tin luôn chính xác.

04

Quyền Xóa Dữ Liệu

Khi dữ liệu không còn cần thiết, cá nhân có thể yêu cầu xóa hoàn toàn hoặc hạn chế việc xử lý dữ liệu cá nhân của mình.

05

Quyền Khiếu Nại & Bồi Thường

Khi quyền riêng tư bị xâm phạm, cá nhân có quyền khiếu nại hoặc khởi kiện đòi bồi thường thiệt hại theo quy định pháp luật.

06

Quyền Yêu Cầu Bảo Vệ

Cá nhân có thể yêu cầu cơ quan chức năng hoặc bên liên quan thực hiện biện pháp bảo vệ kịp thời khi dữ liệu có nguy cơ bị xâm phạm.

Nghĩa vụ doanh nghiệp

Doanh Nghiệp Phải Làm Gì?

Luật đặt ra 6 nhóm nghĩa vụ cốt lõi. Không tuân thủ bất kỳ nhóm nào đều có thể dẫn đến chế tài pháp lý nghiêm trọng.

1

Minh bạch trong thu thập dữ liệu

Công khai chính sách bảo mật, thông báo rõ dữ liệu gì được thu thập, để làm gì, lưu bao lâu. Không thu thập dữ liệu trái phép ngoài phạm vi đã công bố.

2

Xin đồng ý và lưu bằng chứng

Thu thập sự đồng ý rõ ràng (không mặc định chấp thuận) và lưu trữ bằng chứng đồng ý. Khi muốn xử lý dữ liệu cho mục đích mới, phải xin phép lại.

3

Bảo mật dữ liệu kỹ thuật

Áp dụng mã hóa, phân quyền truy cập, tường lửa, giám sát truy cập bất thường. Đảm bảo dữ liệu được bảo vệ trong suốt vòng đời — từ thu thập đến xóa.

4

Xử lý yêu cầu chủ thể dữ liệu

Thiết lập đầu mối và quy trình rõ ràng để xử lý yêu cầu truy cập, chỉnh sửa, xóa dữ liệu, và khiếu nại trong thời hạn pháp luật quy định.

5

Báo cáo sự cố kịp thời

Khi xảy ra rò rỉ dữ liệu, phải thông báo cho cơ quan quản lý trong vòng 72 giờ và triển khai ngay biện pháp khắc phục, giảm thiểu thiệt hại.

6

Đào tạo nhân sự thường xuyên

Toàn bộ nhân viên tiếp xúc với dữ liệu cá nhân cần được đào tạo về quy định và quy trình bảo vệ dữ liệu ít nhất một lần mỗi năm.

📄 Yêu cầu đặc biệt khi chuyển dữ liệu quốc tế

Hồ Sơ DPIA – Bắt Buộc Với Mọi Tổ Chức

Nếu doanh nghiệp của bạn sử dụng phần mềm SaaS nước ngoài, lưu dữ liệu trên cloud quốc tế, hay chia sẻ dữ liệu với đối tác nước ngoài — bạn bắt buộc phải lập Hồ sơ Đánh giá Tác động (DPIA) và nộp cho Bộ Công an.
DPIA phải bao gồm:
  • Loại dữ liệu cá nhân được chuyển
  • Mục đích xử lý và sử dụng dữ liệu
  • Quốc gia/tổ chức nhận dữ liệu
  • Biện pháp bảo vệ dữ liệu áp dụng
  • Đánh giá các rủi ro tiềm ẩn
  • Cam kết bảo mật từ bên nhận
⏱️Thời hạn nộp: Trong vòng 60 ngày kể từ lần chuyển dữ liệu đầu tiên. Cơ chế hậu kiểm — không cần xin phép trước nhưng phải chịu trách nhiệm cao.
⚠️Kiểm tra: Cơ quan quản lý có thể kiểm tra định kỳ hoặc đột xuất (tối đa 1 lần/năm) và yêu cầu tạm dừng chuyển giao nếu phát hiện vi phạm.
689Cloud – Đối tác tuân thủ

Giải Pháp Bảo Mật Dữ Liệu Từ 689Cloud

689Cloud cung cấp công nghệ IRM (Information Rights Management) giúp doanh nghiệp bảo vệ tài liệu và email ngay cả sau khi chúng rời khỏi tổ chức — đáp ứng trực tiếp yêu cầu kỹ thuật của Luật Dữ liệu 2025.
🔒 SecureDrive

Chia Sẻ Tài Liệu Bảo Mật & Kiểm Soát Quyền Truy Cập

Chia sẻ PDF, Word, Excel, hồ sơ y tế và tài liệu nhạy cảm với đầy đủ kiểm soát: ai có thể xem, tải, in — và thu hồi quyền từ xa bất cứ lúc nào, dù tài liệu đã được tải xuống.

🛡️
Mã hóa & IRM toàn diệnTài liệu được mã hóa và quản lý quyền theo tiêu chuẩn doanh nghiệp, ngăn truy cập trái phép
👁️
Giám sát toàn bộ hoạt độngNhật ký đầy đủ mọi lượt xem, tải, in — bằng chứng tuân thủ khi cơ quan kiểm tra
🔄
Thu hồi quyền từ xaVô hiệu hóa tài liệu ngay lập tức dù người nhận đã tải xuống — đáp ứng quyền xóa dữ liệu
💧
Watermark động & xác thực 2FANgăn chụp màn hình, sao chép, in lậu — bảo vệ tài liệu ở mọi thiết bị
✓ Đáp ứng Luật 91/2025/QH15
✓ Nhật ký kiểm toán
Xem SecureDrive →
📧 SecureMail

Bảo Mật Tệp Đính Kèm Email Với Công Nghệ IRM

Gửi tài liệu nhạy cảm qua Gmail hoặc Outlook với bảo vệ IRM — kiểm soát quyền ngay từ hộp thư đến, ngăn người nhận tải xuống, sao chép hoặc chuyển tiếp trái phép.

✉️
Tích hợp Gmail & OutlookTiện ích mở rộng đơn giản — gửi tài liệu bảo mật dễ như email thông thường
🚫
Chặn sao chép & tải xuốngVô hiệu hóa copy, paste, download, print — tài liệu chỉ xem được qua trình xem an toàn
Hạn sử dụng tự độngĐặt ngày hết hạn — tài liệu tự động không thể truy cập sau thời điểm định sẵn
📊
Theo dõi khi nào tài liệu được xemBiết chính xác ai đã mở file, xem bao lâu, trên thiết bị nào — đủ bằng chứng pháp lý
✓ Tuân thủ PDPL 2025
✓ Bảo mật email
Xem SecureMail →

689Cloud Đáp Ứng Yêu Cầu Kỹ Thuật Nào Của Luật?

🔐
Mã hóa dữ liệu
Điều 26 Luật 91/2025
🎯
Phân quyền truy cập
Kiểm soát người được xem
📋
Nhật ký hoạt động
Bằng chứng khi kiểm tra
🗑️
Thu hồi / Xóa dữ liệu
Quyền xóa của người dùng
✅ Lộ trình tuân thủ

Checklist Tuân Thủ Luật Dữ Liệu 2025

Doanh nghiệp cần hoàn thành các bước sau để tuân thủ đầy đủ Luật số 91/2025/QH15

Rà soát & kiểm kê dữ liệu cá nhânXác định tất cả dữ liệu cá nhân đang thu thập, lưu trữ và xử lý
Cập nhật Chính sách bảo mậtĐảm bảo minh bạch, dễ hiểu theo yêu cầu của Luật mới
Thiết lập quy trình đồng ýOpt-in rõ ràng, lưu bằng chứng đồng ý, cho phép rút lại dễ dàng
Triển khai bảo mật kỹ thuậtMã hóa dữ liệu, IRM, phân quyền truy cập nghiêm ngặt
Lập Hồ sơ DPIA (nếu cần)Bắt buộc nếu chuyển dữ liệu ra nước ngoài — nộp trong 60 ngày
Xây dựng quy trình phản hồi yêu cầuĐầu mối xử lý truy cập, chỉnh sửa, xóa dữ liệu của người dùng
Kế hoạch ứng phó sự cốQuy trình báo cáo rò rỉ dữ liệu trong 72 giờ theo Luật
Đào tạo nhân viênToàn bộ đội ngũ tiếp xúc với dữ liệu cá nhân được đào tạo định kỳ
Tại sao chọn 689Cloud

Chúng Tôi Là Đối Tác Tuân Thủ
Đáng Tin Cậy Của Bạn

689Cloud không chỉ cung cấp phần mềm — chúng tôi đồng hành cùng tổ chức của bạn trong toàn bộ hành trình tuân thủ Luật Dữ liệu 2025.

🎯

Chuyên biệt cho thị trường Việt Nam

689Cloud hiểu sâu về khung pháp lý Việt Nam, từ Nghị định 13/2023 đến Luật 91/2025/QH15. Giải pháp được tối ưu cho doanh nghiệp hoạt động tại Việt Nam.

⚙️

Công nghệ IRM tiên tiến

Công nghệ quản lý quyền thông tin (IRM) của chúng tôi giúp kiểm soát tài liệu ngay cả sau khi đã gửi đi — thu hồi, hạn chế, giám sát từ xa theo thời gian thực.

🚀

Triển khai nhanh, ít gián đoạn

Tích hợp với Gmail, Outlook và hệ thống hiện có chỉ trong vài phút. Không cần thay đổi hạ tầng — nhân viên làm quen ngay lập tức.

📊

Bằng chứng tuân thủ đầy đủ

Nhật ký hoạt động chi tiết sẵn sàng cho mọi cuộc kiểm tra — ai đã xem gì, khi nào, trên thiết bị nào. Bằng chứng đáng tin cậy cho cơ quan quản lý.

🌏

Hỗ trợ đa ngôn ngữ

Đội ngũ hỗ trợ bằng Tiếng Việt, Tiếng Anh và Tiếng Nhật — phục vụ doanh nghiệp trong nước lẫn công ty đa quốc gia hoạt động tại Việt Nam.

💰

Chi phí tối ưu, ROI rõ ràng

Phạt vi phạm dữ liệu có thể lên đến 5% doanh thu. Chi phí triển khai 689Cloud chỉ là một phần nhỏ so với rủi ro pháp lý và thiệt hại uy tín khi vi phạm.

Kiến thức chuyên sâu

Tài Nguyên Về Luật Dữ Liệu 2025

Đội ngũ chuyên gia 689Cloud cập nhật liên tục các phân tích chuyên sâu giúp doanh nghiệp hiểu đúng và tuân thủ hiệu quả Luật Bảo vệ Dữ liệu Cá nhân.

Luật bảo vệ dữ liệu cá nhân 2025 – Quyền dữ liệu và trách nhiệm doanh nghiệp

Tìm hiểu quyền của chủ thể dữ liệu cá nhân 2025 và trách nhiệm doanh nghiệp trong luật bảo vệ dữ liệu. Hướng dẫn doanh nghiệp tuân thủ và tối ưu bảo mật hiệu quả.

19 tháng 5, 2026Đọc bài →

Vi phạm dữ liệu cá nhân 2025: Mức phạt nào cho doanh nghiệp

Vi phạm Luật bảo vệ dữ liệu cá nhân có thể khiến doanh nghiệp bị phạt. Tìm hiểu mức xử phạt vi phạm và cách phòng ngừa cho doanh nghiệp.

19 tháng 5, 2026Đọc bài →

Luật Bảo vệ Dữ liệu Cá nhân 2025 – Định hướng chính sách và bối cảnh chuyển dữ liệu cá nhân xuyên biên giới

Tìm hiểu quy định chuyển dữ liệu cá nhân xuyên biên giới theo Luật 2025: cơ chế hậu kiểm, DPIA và cách doanh nghiệp tuân thủ hiệu quả.

19 tháng 5, 2026Đọc bài →
Xem Tất Cả Bài Viết →
Câu hỏi thường gặp

Những Câu Hỏi Phổ Biến Về
Luật Dữ Liệu 2025

Luật Bảo vệ Dữ liệu Cá nhân 2025 là gì và khi nào có hiệu lực?

Luật Bảo vệ Dữ liệu Cá nhân (Luật số 91/2025/QH15) được Quốc hội Việt Nam thông qua ngày 26/6/2025, chính thức có hiệu lực từ 01/01/2026. Đây là luật chuyên biệt đầu tiên về bảo vệ dữ liệu cá nhân tại Việt Nam, thiết lập khung pháp lý toàn diện cho việc thu thập, xử lý và bảo vệ dữ liệu cá nhân trong kỷ nguyên số.

Mức phạt vi phạm Luật Dữ liệu 2025 là bao nhiêu?

Luật quy định 3 mức phạt chính: (1) Tối đa 3 tỷ đồng cho các vi phạm bảo vệ dữ liệu cá nhân thông thường; (2) Tối đa 5% doanh thu năm trước liền kề cho vi phạm về chuyển dữ liệu cá nhân xuyên biên giới; (3) Phạt lên đến 10 lần khoản thu bất hợp pháp cho hành vi mua bán dữ liệu cá nhân trái phép. Ngoài ra, vi phạm nghiêm trọng có thể bị truy cứu hình sự và phải bồi thường dân sự.

Luật này áp dụng cho những ai?

Luật áp dụng cho tất cả tổ chức và cá nhân — trong nước lẫn quốc tế — thu thập, lưu trữ hoặc xử lý dữ liệu cá nhân của người dùng tại Việt Nam. Bao gồm: doanh nghiệp mọi quy mô, cơ quan nhà nước, nền tảng trực tuyến, thương mại điện tử, tài chính, y tế, giáo dục và công ty đa quốc gia có hoạt động tại Việt Nam — dù máy chủ đặt ở đâu.

DPIA là gì và khi nào doanh nghiệp cần lập?

DPIA (Data Protection Impact Assessment – Hồ sơ Đánh giá Tác động Chuyển Dữ liệu) là tài liệu bắt buộc khi doanh nghiệp chuyển dữ liệu cá nhân ra nước ngoài — bao gồm: dùng phần mềm SaaS quốc tế, lưu trữ dữ liệu trên cloud nước ngoài, hoặc chia sẻ dữ liệu với đối tác nước ngoài. Doanh nghiệp phải nộp DPIA cho Bộ Công an trong vòng 60 ngày kể từ lần chuyển đầu tiên. Đây là thủ tục một lần, cập nhật khi có thay đổi — không cần xin phép từng lần.

Doanh nghiệp nhỏ (SME) có cần tuân thủ không?

Có. Luật không miễn trừ theo quy mô doanh nghiệp. Mọi tổ chức — kể cả startup và SME — khi thu thập và xử lý dữ liệu cá nhân đều phải tuân thủ. Tuy nhiên, mức độ và phức tạp của các biện pháp cần áp dụng có thể tỷ lệ với lượng dữ liệu xử lý. Doanh nghiệp nhỏ có thể bắt đầu bằng: cập nhật chính sách bảo mật, triển khai công cụ bảo mật dữ liệu cơ bản như 689Cloud, và đào tạo nhân viên về quy định mới.

689Cloud giúp doanh nghiệp tuân thủ cụ thể như thế nào?

689Cloud cung cấp hai giải pháp chính: SecureDrive — nền tảng chia sẻ tài liệu bảo mật với IRM, mã hóa, giám sát truy cập và thu hồi quyền từ xa; và SecureMail — bảo mật tệp đính kèm email bằng IRM, ngăn sao chép/tải xuống trái phép. Cả hai giải pháp cung cấp nhật ký hoạt động đầy đủ để dùng làm bằng chứng tuân thủ khi cơ quan kiểm tra, và hỗ trợ thực hiện quyền xóa dữ liệu của người dùng thông qua tính năng thu hồi quyền từ xa.

6 quyền của chủ thể dữ liệu theo Luật 2025 là gì?

Luật quy định 6 quyền cơ bản: (1) Quyền được biết về việc thu thập và xử lý dữ liệu; (2) Quyền đồng ý/từ chối (opt-in/opt-out) và rút lại đồng ý bất cứ lúc nào; (3) Quyền truy cập và chỉnh sửa dữ liệu cá nhân; (4) Quyền xóa hoặc hạn chế xử lý dữ liệu; (5) Quyền khiếu nại và bồi thường khi quyền riêng tư bị xâm phạm; (6) Quyền yêu cầu biện pháp bảo vệ khẩn cấp từ cơ quan chức năng. Doanh nghiệp có nghĩa vụ đảm bảo và tôn trọng tất cả 6 quyền này.

🤝 Đối tác tuân thủ của bạn

Bắt Đầu Hành Trình
Tuân Thủ Luật Dữ Liệu Ngay Hôm Nay

Đừng đợi đến khi bị kiểm tra hay bị phạt. 689Cloud cung cấp tư vấn miễn phí và dùng thử không cần thẻ tín dụng — bắt đầu bảo vệ dữ liệu doanh nghiệp của bạn ngay hôm nay.

Tư Vấn Tuân Thủ Miễn PhíDùng Thử Miễn Phí
Không cần thẻ tín dụngHỗ trợ Tiếng ViệtTriển khai trong ngày