Từ 1/1/2026, mạng xã hội tuyệt đối không được nghe lén, đọc trộm tin nhắn người dùng

Từ ngày 1/1/2026, Luật Bảo vệ dữ liệu cá nhân năm 2025 bao gồm 5 chương và 39 điều sẽ chính thức đi vào đời sống, trở thành lá chắn thép bảo vệ người dân trên không gian số.

Theo Điều 4 Luật Bảo vệ dữ liệu cá nhân 2025, lần đầu tiên người dùng được trao lại quyền kiểm soát toàn diện đối với thông tin của mình. Đó là các quyền năng cụ thể: được biết rõ dữ liệu của mình đang bị ai xử lý và xử lý thế nào; quyền đồng ý hoặc lắc đầu từ chối, thậm chí rút lại sự đồng ý đã cấp trước đó; quyền xem, chỉnh sửa những sai sót; và quyền lực nhất là yêu cầu xóa bỏ hoặc hạn chế xử lý dữ liệu. Người dùng cũng có thể gửi yêu cầu phản đối việc xử lý dữ liệu cá nhân bất cứ lúc nào.

Hơn thế nữa, chủ thể dữ liệu còn nắm trong tay công cụ pháp lý mạnh mẽ để bảo vệ mình: quyền khiếu nại, tố cáo, khởi kiện và yêu cầu bồi thường thiệt hại nếu bị xâm phạm. Họ có thể yêu cầu cơ quan thẩm quyền buộc các bên liên quan thực hiện các biện pháp bảo vệ dữ liệu của mình theo đúng quy định pháp luật.

Đi kèm với quyền hạn là những nghĩa vụ để xây dựng một môi trường mạng văn minh: Mỗi người phải biết tự bảo vệ dữ liệu của chính mình; tôn trọng quyền riêng tư của người khác; cung cấp thông tin đầy đủ, chính xác khi đã đồng ý cho phép xử lý hoặc theo hợp đồng; đồng thời chấp hành nghiêm chỉnh pháp luật và chung tay phòng, chống các hành vi xâm phạm dữ liệu.

Khi thực hiện các quyền và nghĩa vụ này, chủ thể dữ liệu cần tuân thủ các nguyên tắc cốt lõi:

Mọi hành động phải thượng tôn pháp luật và tuân thủ hợp đồng. Việc thực hiện quyền lợi phải thực sự nhằm mục đích bảo vệ lợi ích hợp pháp của chính mình.

Không được gây khó khăn hay cản trở hoạt động hợp pháp của các bên kiểm soát và xử lý dữ liệu.

Tuyệt đối không được xâm phạm đến quyền và lợi ích hợp pháp của Nhà nước, tổ chức hay các cá nhân khác.

Điểm sáng đáng chú ý nhất nằm ở Điều 29 Luật Bảo vệ dữ liệu cá nhân 2025, nơi quy định những "giới hạn đỏ" đối với các nền tảng mạng xã hội và dịch vụ truyền thông trực tuyến.

Theo đó, các ông lớn công nghệ và cá nhân cung cấp dịch vụ mạng xã hội phải gánh vác những trách nhiệm nặng nề để bảo vệ người dùng:

Minh bạch tuyệt đối: Phải thông báo rõ ràng về nội dung dữ liệu sẽ thu thập ngay khi người dùng cài đặt ứng dụng. Nghiêm cấm việc thu thập "chui", trái phép hoặc vượt quá phạm vi đã thỏa thuận.

Chấm dứt yêu cầu vô lý: Không được phép ép buộc người dùng cung cấp hình ảnh, video chứa toàn bộ hoặc một phần giấy tờ tùy thân (như CCCD, hộ chiếu) chỉ để xác thực tài khoản.

Quyền từ chối "bám đuôi": Phải cung cấp lựa chọn cho phép người dùng từ chối việc thu thập và chia sẻ tệp dữ liệu (cookies) - thứ vốn được dùng để theo dõi hành vi người dùng.

Nút "Không theo dõi": Bắt buộc cung cấp tùy chọn "không theo dõi", hoặc chỉ được phép theo dõi hoạt động sử dụng mạng xã hội khi người dùng đã gật đầu đồng ý.

Cấm nghe lén, đọc trộm: Đây là quy định đanh thép nhất - Không được nghe lén, ghi âm cuộc gọi hay đọc tin nhắn văn bản dưới bất kỳ hình thức nào khi không có sự đồng ý của chủ thể, trừ những trường hợp đặc biệt do luật định.

Trách nhiệm giải trình: Phải công khai chính sách bảo mật một cách dễ hiểu; cung cấp công cụ để người dùng tự truy cập, chỉnh sửa, xóa dữ liệu và thiết lập quyền riêng tư; có cơ chế báo cáo vi phạm nhanh chóng. Đặc biệt, phải bảo vệ dữ liệu của công dân Việt Nam khi chuyển ra nước ngoài (xuyên biên giới).