Từ lâu, người dùng mạng xã hội đã quen với việc “bị theo dõi” mà gần như không có lựa chọn. Việc cài app, tạo tài khoản hay lướt bảng tin thường đi kèm những điều khoản dài lê thê, nơi quyền riêng tư bị đặt ở vị trí thứ yếu. Luật Bảo vệ dữ liệu cá nhân, có hiệu lực từ ngày 1/1/2026, đang thay đổi trật tự đó.
Luật mới xác lập rõ một nguyên tắc quan trọng: dữ liệu cá nhân là của người dùng, không phải của nền tảng.
Mạng xã hội không còn được thu thập dữ liệu “tùy tiện”
Theo quy định mới, các nền tảng mạng xã hội buộc phải nói rõ họ thu thập những dữ liệu gì, dùng vào mục đích nào và trong phạm vi ra sao. Việc thu thập ngoài thỏa thuận hoặc không thông báo trước cho người dùng bị coi là vi phạm pháp luật.
Đáng chú ý, từ năm 2026, mạng xã hội không được yêu cầu người dùng cung cấp ảnh hoặc video giấy tờ tùy thân như CCCD hay hộ chiếu để xác thực tài khoản, trừ trường hợp pháp luật có quy định khác. Đây là thay đổi lớn, chấm dứt tình trạng nhiều nền tảng “giữ tài khoản làm con tin” bằng yêu cầu giấy tờ nhạy cảm.
Im lặng không còn bị xem là đồng ý
Một điểm rất quan trọng mà người dùng cần nhớ: không phản hồi, không bấm chọn, không có nghĩa là bạn đồng ý.
Luật quy định rõ sự đồng ý phải dựa trên tự nguyện, có hiểu biết đầy đủ và gắn với từng mục đích cụ thể. Người dùng có quyền từ chối, giới hạn hoặc rút lại sự đồng ý bất cứ lúc nào, đặc biệt khi nghi ngờ dữ liệu bị dùng sai mục đích.
Nói cách khác, việc bạn từng “gật đầu” hôm nay không ràng buộc bạn mãi mãi trong tương lai.
Có quyền yêu cầu xóa, chỉnh sửa và ngừng xử lý dữ liệu
Kể từ khi luật có hiệu lực, người dùng có thể yêu cầu nền tảng:
- Cho biết họ đang lưu những dữ liệu gì
- Chỉnh sửa thông tin sai lệch
- Xóa dữ liệu không còn cần thiết
- Ngừng theo dõi, ngừng xử lý dữ liệu cá nhân
Khi có yêu cầu hợp lệ, bên kiểm soát dữ liệu phải thực hiện ngay, thay vì kéo dài hoặc né tránh như trước.
Quảng cáo cá nhân hóa phải có sự đồng ý rõ ràng
Luật mới siết chặt hoạt động quảng cáo dựa trên hành vi người dùng. Các hình thức theo dõi để cá nhân hóa quảng cáo, từ cookies đến theo dõi hành vi trong ứng dụng, chỉ được thực hiện khi có sự đồng ý.
Người dùng cũng có quyền yêu cầu ngừng nhận quảng cáo, từ chối chia sẻ dữ liệu phục vụ mục đích tiếp thị và buộc nền tảng xóa dữ liệu khi không còn cần thiết.
Điều này khiến các nút “không theo dõi”, “từ chối quảng cáo cá nhân hóa” không còn mang tính hình thức.
Mua bán dữ liệu cá nhân bị phạt rất nặng
Luật cấm tuyệt đối hành vi mua bán dữ liệu cá nhân nếu không có quy định pháp luật cho phép. Các hình phạt được thiết kế đủ mạnh để răn đe, từ phạt tiền nhiều lần số lợi thu được cho đến xử phạt theo doanh thu doanh nghiệp.
Với tổ chức, mức phạt hành chính có thể lên tới 3 tỷ đồng, thậm chí cao hơn nếu liên quan đến chuyển dữ liệu xuyên biên giới hoặc thu lợi lớn từ vi phạm.
Điều quan trọng nhất: người dùng cần chủ động
Luật tạo ra khung bảo vệ, nhưng quyền riêng tư chỉ thực sự được đảm bảo khi người dùng chủ động đọc, chọn và từ chối khi cần thiết. Việc quen tay bấm “đồng ý” mà không xem xét kỹ sẽ khiến quyền lợi trên giấy khó phát huy tác dụng trong thực tế.
Từ ngày 1/1/2026, mạng xã hội không còn là “vùng xám dữ liệu”. Nhưng việc bảo vệ thông tin cá nhân bắt đầu từ chính lựa chọn của mỗi người dùng.