- 1. Quyền của chủ thể dữ liệu cá nhân
- 1.1. Quyền được biết về hoạt động xử lý dữ liệu cá nhân
- 1.2. Quyền đồng ý, không đồng ý hoặc rút lại sự đồng ý
- 1.3. Quyền xem, chỉnh sửa hoặc yêu cầu chỉnh sửa dữ liệu
- 1.4. Quyền yêu cầu cung cấp, xóa, hạn chế hoặc phản đối xử lý dữ liệu
- 1.5. Quyền khiếu nại, tố cáo, khởi kiện và yêu cầu bồi thường thiệt hại
- 1.6. Quyền yêu cầu thực hiện các biện pháp, giải pháp bảo vệ
- 2. Nghĩa vụ của chủ thể dữ liệu
- 2.1. Trách nhiệm tự bảo vệ và tôn trọng dữ liệu của cộng đồng
- 2.2. Nghĩa vụ cung cấp dữ liệu chính xác trong các giao dịch pháp lý
- 2.3. Chấp hành pháp luật và tham gia phòng chống tội phạm dữ liệu
- 3. Nguyên tắc thực hiện quyền và nghĩa vụ để đảm bảo tính hợp pháp
- 4. Quy trình thực thi quyền chủ thể dữ liệu trên thực tế năm 2025-2026
- Kết luận
Trong kỷ nguyên của nền kinh tế số và sự bùng nổ của trí tuệ nhân tạo, dữ liệu cá nhân không còn đơn thuần là những thông tin định danh tĩnh, mà đã trở thành "dầu mỏ" của thế kỷ 21 – một loại tài sản chiến lược có giá trị thương mại và xã hội to lớn. Tuy nhiên, đi kèm với những lợi ích từ việc khai thác dữ liệu là những rủi ro hiện hữu về xâm phạm quyền riêng tư, an ninh mạng và danh dự nhân phẩm của cá nhân.
Nhận thức rõ tầm quan trọng này, pháp luật Việt Nam đã thiết lập một hành lang pháp lý vững chắc thông qua Luật Bảo vệ dữ liệu cá nhân 2025, xác lập tư cách của cá nhân không chỉ là đối tượng bị tác động mà còn là chủ thể quyền đối với dữ liệu của chính mình. Việc tìm hiểu và thực thi các quyền, nghĩa vụ của chủ thể dữ liệu không chỉ là yêu cầu tự thân để bảo vệ lợi ích hợp pháp của mỗi cá nhân, mà còn là mắt xích quan trọng để xây dựng một môi trường số an toàn, minh bạch và trách nhiệm.
1. Quyền của chủ thể dữ liệu cá nhân
Luật Bảo vệ dữ liệu cá nhân 2025 đã thực hiện một cuộc cải cách quan trọng khi tổng hợp và hệ thống hóa các quyền của cá nhân thành 06 nhóm quyền cốt lõi tại Điều 4 Khoản 1. Sự thay đổi này so với 11 quyền trong Nghị định 13/2023/NĐ-CP không làm giảm đi quyền lợi của cá nhân mà thực chất là sự cô đọng và tích hợp để tạo điều kiện thuận lợi hơn cho việc thực thi thực tế.
1.1. Quyền được biết về hoạt động xử lý dữ liệu cá nhân
Quyền được biết là quyền năng khởi đầu, cho phép chủ thể dữ liệu nắm bắt toàn bộ vòng đời của thông tin cá nhân mình. Trước khi tiến hành bất kỳ hoạt động thu thập nào, tổ chức phải thông báo rõ ràng về loại dữ liệu, mục đích, cách thức xử lý, các bên liên quan và rủi ro có thể xảy ra. Sự minh bạch này không chỉ là nghĩa vụ pháp lý mà còn là công cụ để cá nhân đánh giá mức độ tin cậy của bên xử lý dữ liệu. Trong lĩnh vực AI, minh bạch về dữ liệu đào tạo là yếu tố tiên quyết để đảm bảo tính nhân văn và không thiên kiến của các thuật toán. Đây là quyền năng cơ sở, đảm bảo tính minh bạch trong suốt vòng đời của dữ liệu. Chủ thể dữ liệu phải được thông báo một cách rõ ràng, dễ hiểu về:
- Loại dữ liệu được thu thập.
- Mục đích, phạm vi và phương thức xử lý.
- Các bên liên quan tham gia vào quá trình xử lý và khả năng chuyển giao dữ liệu.
- Minh bạch về dữ liệu cũng là yếu tố then chốt trong việc xây dựng lòng tin khi cá nhân tương tác với các hệ thống trí tuệ nhân tạo (AI) và dữ liệu lớn.
1.2. Quyền đồng ý, không đồng ý hoặc rút lại sự đồng ý
Quyền đồng ý (và rút lại sự đồng ý) là biểu hiện cao nhất của sự tự do ý chí. Pháp luật Việt Nam xác lập nguyên tắc cứng rắn rằng việc im lặng, không phản hồi không bao giờ được coi là sự đồng ý. Sự đồng ý phải được đưa ra một cách chủ động, tự nguyện và có thể kiểm chứng được qua các phương thức như văn bản, tin nhắn, email hoặc các thiết lập kỹ thuật cụ thể. Một điểm mới quan trọng là cá nhân có quyền đồng ý cho từng mục đích riêng biệt; doanh nghiệp không được phép gộp chung các mục đích xử lý khác nhau vào một lựa chọn duy nhất để ép buộc người dùng.Quyền này khẳng định quyền tự quyết của cá nhân đối với thông tin của mình:
- Nguyên tắc tự nguyện: Sự đồng ý phải được đưa ra chủ động và tự nguyện. Pháp luật quy định rõ việc im lặng hoặc không phản hồi không bao giờ được coi là sự đồng ý.
- Chống "Mẫu thiết kế đen": Nghị định 356 nghiêm cấm các doanh nghiệp thiết lập mặc định đồng ý hoặc sử dụng các chỉ dẫn gây hiểu lầm.
- Rút lại sự đồng ý: Chủ thể có quyền thu hồi sự cho phép bất kỳ lúc nào. Doanh nghiệp phải thực hiện yêu cầu này trong vòng 15 ngày kể từ khi nhận được yêu cầu hợp lệ.
1.3. Quyền xem, chỉnh sửa hoặc yêu cầu chỉnh sửa dữ liệu
Chủ thể dữ liệu có quyền yêu cầu xem và truy cập vào kho dữ liệu đang được các tổ chức lưu trữ về mình để đảm bảo tính chính xác. Nếu phát hiện thông tin sai lệch, lỗi thời hoặc không đầy đủ, cá nhân có quyền yêu cầu chỉnh sửa ngay lập tức. Điều này đặc biệt quan trọng trong các lĩnh vực như tín dụng, y tế hay nhân sự, nơi một thông tin sai lệch có thể dẫn đến những quyết định bất lợi cho cá nhân.
Quyền xóa dữ liệu (hay còn gọi là quyền được quên) cho phép chủ thể yêu cầu hủy bỏ thông tin khi mục đích xử lý đã đạt được hoặc khi họ rút lại sự đồng ý. Luật 2025 quy định rõ ràng rằng các doanh nghiệp phải xóa dữ liệu của người lao động sau khi kết thúc hợp đồng hoặc xóa thông tin của các ứng viên không trúng tuyển, trừ trường hợp có thỏa thuận khác. Đây là một bước tiến lớn trong việc ngăn chặn tình trạng "lưu trữ vĩnh viễn" dữ liệu cá nhân vốn tiềm ẩn nhiều rủi ro bị lộ lọt.
Để đảm bảo dữ liệu luôn chính xác và cập nhật, chủ thể có quyền:
- Truy cập để kiểm tra các thông tin mà tổ chức đang lưu trữ về mình.
- Yêu cầu đính chính ngay khi phát hiện thông tin sai lệch hoặc không đầy đủ.
Thời hạn thực hiện: Bên kiểm soát dữ liệu có trách nhiệm xử lý yêu cầu xem hoặc chỉnh sửa dữ liệu trong vòng 10 ngày.
1.4. Quyền yêu cầu cung cấp, xóa, hạn chế hoặc phản đối xử lý dữ liệu
Trong môi trường kinh tế số, dữ liệu thường bị khai thác cho các mục đích tiếp thị và quảng cáo mà không có sự kiểm soát của chủ thể. Quyền phản đối cho phép cá nhân yêu cầu bên kiểm soát dữ liệu ngừng sử dụng thông tin của mình cho mục đích quảng cáo hoặc ngăn chặn việc tiết lộ dữ liệu cho bên thứ ba.
Quyền hạn chế xử lý là một công cụ tạm thời nhưng mạnh mẽ. Khi chủ thể dữ liệu nghi ngờ về tính hợp pháp của hoạt động xử lý hoặc tính chính xác của dữ liệu, họ có quyền yêu cầu tổ chức tạm ngừng mọi hoạt động tác động đến dữ liệu trong một khoảng thời gian nhất định để xác minh.
Đây là nhóm quyền cho phép cá nhân trực tiếp can thiệp vào hoạt động khai thác dữ liệu của tổ chức:
- Quyền xóa dữ liệu (Quyền được quên): Áp dụng khi mục đích xử lý đã hoàn thành hoặc cá nhân rút lại sự đồng ý. Thời hạn xóa là 20 ngày (có thể lên tới 30 ngày nếu liên quan đến bên thứ ba).
- Quyền hạn chế và phản đối: Cá nhân có thể yêu cầu ngừng sử dụng dữ liệu cho các mục đích cụ thể như tiếp thị, quảng cáo hoặc khi có nghi ngờ về tính hợp pháp của việc xử lý. Thời hạn phản hồi cho yêu cầu hạn chế là 15 ngày.
1.5. Quyền khiếu nại, tố cáo, khởi kiện và yêu cầu bồi thường thiệt hại
Hệ thống pháp luật bảo vệ dữ liệu sẽ trở nên vô hiệu nếu thiếu đi các chế tài và cơ chế thực thi. Chủ thể dữ liệu có quyền khiếu nại trực tiếp đến bên xử lý dữ liệu hoặc tố cáo đến các cơ quan chức năng như Cục An ninh mạng (A05) khi phát hiện vi phạm.
Hệ quả pháp lý nghiêm trọng nhất đối với các bên vi phạm là nghĩa vụ bồi thường thiệt hại. Chủ thể dữ liệu có quyền yêu cầu bồi thường cho cả thiệt hại vật chất (như mất tiền trong tài khoản) và thiệt hại tinh thần (như tổn thương danh dự, uy tín). Với sự ra đời của Luật 2025, gánh nặng chứng minh sự tuân thủ được đặt lên vai các doanh nghiệp; nếu không chứng minh được mình đã thực hiện đúng quy trình bảo vệ dữ liệu, doanh nghiệp sẽ mặc định phải chịu trách nhiệm trước những tổn thất của chủ thể dữ liệu.
Đây là "lá chắn" pháp lý cuối cùng để bảo vệ chủ thể dữ liệu trước các hành vi vi phạm:
- Chủ thể có quyền tố cáo các hành vi xâm phạm đến Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05).
- Cá nhân có quyền khởi kiện ra Tòa án để yêu cầu bồi thường cho cả thiệt hại vật chất và tổn thất tinh thần phát sinh từ việc lộ, lọt hoặc sử dụng dữ liệu trái phép.
1.6. Quyền yêu cầu thực hiện các biện pháp, giải pháp bảo vệ
Đây là một điểm mới nổi bật của Luật 2025 so với các quy định trước đây:
- Chủ thể dữ liệu có quyền yêu cầu cơ quan nhà nước có thẩm quyền hoặc tổ chức xử lý dữ liệu phải áp dụng các biện pháp kỹ thuật (như mã hóa, xác thực đa yếu tố) hoặc biện pháp pháp lý cụ thể để bảo vệ an toàn cho thông tin của mình.
- Quyền này buộc các tổ chức phải chủ động nâng cấp hệ thống bảo mật theo yêu cầu chính đáng của người dùng.
Tóm tắt thời hạn thực hiện quyền theo Nghị định 356/2025/NĐ-CP:
| Loại yêu cầu | Thời hạn xử lý |
| Xem, cung cấp hoặc chỉnh sửa dữ liệu | 10 ngày |
| Rút lại sự đồng ý, hạn chế hoặc phản đối xử lý | 15 ngày |
| Xóa dữ liệu cá nhân | 20 - 30 ngày |
Việc tinh gọn từ 11 quyền (theo Nghị định 13) xuống còn 6 nhóm quyền lớn giúp chủ thể dữ liệu dễ dàng ghi nhớ và thực hiện quyền năng của mình hơn trong môi trường số.
2. Nghĩa vụ của chủ thể dữ liệu
Một điểm đặc sắc của pháp luật Việt Nam là sự xác lập rõ ràng các nghĩa vụ của chủ thể dữ liệu tại Điều 4 Khoản 2 Luật số 91/2025/QH15. Điều này phản ánh tư duy rằng bảo vệ dữ liệu là một quá trình hai chiều, đòi hỏi sự phối hợp từ cả phía cá nhân.
2.1. Trách nhiệm tự bảo vệ và tôn trọng dữ liệu của cộng đồng
Tự bảo vệ được coi là nghĩa vụ hàng đầu của mỗi công dân số. Pháp luật trao cho cá nhân các quyền năng, nhưng chính cá nhân phải có trách nhiệm sử dụng các công cụ bảo mật (như mật khẩu mạnh, xác thực hai lớp) và thận trọng khi cung cấp thông tin trên môi trường mạng. Việc một cá nhân cố ý để lộ thông tin của chính mình hoặc sử dụng các dịch vụ không an toàn có thể làm giảm đi sức nặng pháp lý khi yêu cầu bồi thường nếu xảy ra sự cố.
Bên cạnh đó, mỗi chủ thể dữ liệu cũng đồng thời là một thực thể có khả năng xâm phạm dữ liệu của người khác. Nghĩa vụ tôn trọng dữ liệu người khác yêu cầu cá nhân không được tự ý thu thập, chia sẻ hoặc phát tán thông tin của bạn bè, đồng nghiệp hoặc bất kỳ ai khi chưa được sự đồng ý. Điều này tạo ra một rào cản đạo đức và pháp lý đối với các hành vi như "bóc phốt", tiết lộ đời tư trên mạng xã hội.
2.2. Nghĩa vụ cung cấp dữ liệu chính xác trong các giao dịch pháp lý
Trong các mối quan hệ hợp đồng hoặc giao dịch hành chính, chủ thể dữ liệu có nghĩa vụ cung cấp thông tin đầy đủ và chính xác. Sự trung thực của cá nhân là điều kiện cần để đảm bảo tính toàn vẹn của giao dịch. Ví dụ, trong lĩnh vực ngân hàng hoặc bảo hiểm, việc cung cấp thông tin sai lệch có thể dẫn đến việc hợp đồng bị vô hiệu hoặc cá nhân bị từ chối bồi thường. Tuy nhiên, pháp luật cũng bảo vệ quyền tự do của cá nhân khi sử dụng bút danh hoặc tên giả trong các hoạt động không mang tính chất định danh pháp lý trên không gian mạng.
2.3. Chấp hành pháp luật và tham gia phòng chống tội phạm dữ liệu
Chủ thể dữ liệu có nghĩa vụ tuân thủ các quy định chung về an ninh mạng và tích cực tham gia vào việc phòng ngừa các hành vi xâm phạm dữ liệu. Điều này bao gồm việc không tham gia vào các hoạt động mua bán dữ liệu cá nhân trái phép và kịp thời thông báo cho cơ quan công an khi phát hiện các lỗ hổng hoặc hành vi vi phạm của các tổ chức.
3. Nguyên tắc thực hiện quyền và nghĩa vụ để đảm bảo tính hợp pháp
Việc thực hiện quyền và nghĩa vụ của chủ thể dữ liệu không phải là tuyệt đối mà phải tuân thủ các nguyên tắc hài hòa lợi ích được quy định tại Khoản 3 Điều 4 Luật 2025.
| Nguyên tắc thực thi | Nội dung chi tiết | Ý nghĩa pháp lý |
| Tuân thủ pháp luật và hợp đồng | Việc thực hiện quyền phải dựa trên quy định của pháp luật và các thỏa thuận hợp đồng đã ký kết. | Đảm bảo tính ổn định và dự báo được của các giao dịch dân sự. |
| Giới hạn của quyền năng | Không được gây khó khăn, cản trở bất hợp lý cho nghĩa vụ pháp lý của bên kiểm soát dữ liệu. | Ngăn chặn việc lạm dụng quyền để trốn tránh nghĩa vụ (ví dụ: yêu cầu xóa dữ liệu nợ thuế). |
| Bảo vệ lợi ích chung | Không được xâm phạm đến quyền và lợi ích hợp pháp của Nhà nước và các cá nhân khác. | Xác lập ranh giới của quyền tự do cá nhân trong cộng đồng. |
Sự tương tác giữa chủ thể dữ liệu và bên kiểm soát dữ liệu phải dựa trên tinh thần thiện chí. Các tổ chức có trách nhiệm tạo điều kiện thuận lợi nhất để cá nhân thực hiện quyền, đồng thời cá nhân cũng phải hiểu rằng trong một số trường hợp đặc biệt (như bảo vệ tính mạng trong tình trạng khẩn cấp hoặc phục vụ điều tra tội phạm), quyền đồng ý hoặc quyền xóa dữ liệu có thể bị hạn chế theo luật định.
4. Quy trình thực thi quyền chủ thể dữ liệu trên thực tế năm 2025-2026
Để các quy định pháp luật không trở thành "luật nằm trên giấy", Nghị định 356/2025/NĐ-CP đã ấn định các quy trình và thời hạn phản hồi cụ thể, tạo ra một cơ chế vận hành chuyên nghiệp cho cả doanh nghiệp và người dân. Sự khác biệt về thời hạn giữa các văn bản pháp luật phản ánh nỗ lực cân bằng giữa tính cấp bách của dữ liệu và khả năng kỹ thuật của tổ chức:
Theo Nghị định 13/2023/NĐ-CP (Áp dụng đến hết 2025): Các yêu cầu về hạn chế xử lý, phản đối xử lý phải được thực hiện trong vòng 72 giờ kể từ khi nhận được yêu cầu hợp lệ.
Theo Nghị định 356/2025/NĐ-CP (Áp dụng từ 01/01/2026):
- Yêu cầu rút lại sự đồng ý hoặc hạn chế xử lý: Tổ chức phải phản hồi và thực hiện trong vòng 15 ngày.
- Yêu cầu xóa dữ liệu hoặc chỉnh sửa dữ liệu: Thời hạn thực hiện là 20 ngày (có thể kéo dài đến 30 ngày nếu liên quan đến bên thứ ba).
- Cơ chế gia hạn: Trong các trường hợp phức tạp, tổ chức được quyền gia hạn 01 lần nhưng phải có văn bản giải trình lý do cụ thể gửi chủ thể dữ liệu.
Chủ thể dữ liệu có thể lựa chọn nhiều kênh khác nhau để thực hiện quyền năng của mình, đảm bảo tính tiện lợi tối đa:
- Thông qua Cổng thông tin quốc gia: Truy cập địa chỉ
baovedlcn.gov.vnđể nộp hồ sơ hoặc tố cáo vi phạm trực tuyến. - Gửi văn bản trực tiếp hoặc qua bưu điện: Tới trụ sở của bên kiểm soát dữ liệu hoặc Cục An ninh mạng (A05) tại số 243 Khuất Duy Tiến, Hà Nội.
- Kênh điện tử của doanh nghiệp: Các ứng dụng di động, thư điện tử (email) hoặc các biểu mẫu trực tuyến mà doanh nghiệp đã thiết lập để xin sự đồng ý.
Hồ sơ yêu cầu cần chứa đựng các thông tin cơ bản về định danh chủ thể, mô tả chi tiết hành vi cần thực hiện (xóa, sửa, hạn chế) và các bằng chứng kèm theo nếu có.
Kết luận
Tóm lại, hệ thống quyền và nghĩa vụ của chủ thể dữ liệu cá nhân không chỉ đơn thuần là những quy định kỹ thuật mang tính thủ tục, mà là sự cụ thể hóa quyền hiến định về bí mật đời tư trong không gian mạng. Qua việc phân tích, có thể thấy các quyền như quyền được biết, quyền đồng ý, quyền truy cập hay quyền xóa dữ liệu đã tạo ra một "lá chắn" pháp lý mạnh mẽ, cho phép cá nhân kiểm soát và định đoạt số phận thông tin của chính mình trước các hành vi xử lý dữ liệu bất hợp pháp.
Tuy nhiên, quyền lợi luôn đi đôi với trách nhiệm. Hiệu quả của công tác bảo vệ dữ liệu cá nhân không chỉ phụ thuộc vào sự nghiêm minh của cơ quan quản lý hay sự tuân thủ của các tổ chức xử lý dữ liệu, mà còn bắt nguồn từ sự chủ động và ý thức tự bảo vệ của chính chủ thể dữ liệu thông qua việc thực hiện các nghĩa vụ pháp lý liên quan. Trong bối cảnh công nghệ không ngừng biến đổi, việc hoàn thiện nhận thức và vận dụng linh hoạt các quy định này chính là chìa khóa để bảo đảm rằng mỗi cá nhân có thể an tâm thụ hưởng những giá trị của thời đại số mà không phải đánh đổi bằng quyền riêng tư thiêng liêng. Đây không chỉ là câu chuyện của pháp luật, mà còn là nền tảng của niềm tin trong sự phát triển bền vững của xã hội hiện đại.
Như vậy trên đây là toàn bộ thông tin về quyền và nghĩa vụ của chủ thể dữ liệu trong bảo vệ dữ liệu mà Công ty Luật Minh Khuê muốn gửi đến quý khách mang tính tham khảo. Nếu quý khách còn vướng mắc về vấn đề trên hoặc mọi vấn đề pháp lý khác, quý khách hãy vui lòng liên hệ trực tiếp với chúng tôi qua Luật sư tư vấn pháp luật trực tuyến theo số điện thoại 1900.6162 để được Luật sư tư vấn pháp luật trực tiếp qua tổng đài kịp thời hỗ trợ và giải đáp mọi thắc mắc.
Nếu quý khách cần báo giá dịch vụ pháp lý thì quý khách có thể gửi yêu cầu báo phí dịch vụ đến địa chỉ email: lienhe@luatminhkhue.vn để nhận được thông tin sớm nhất! Rất mong nhận được sự hợp tác và tin tưởng của quý khách! Luật Minh Khuê xin trân trọng cảm ơn!
