Luật Bảo vệ dữ liệu cá nhân có hiệu lực từ ngày 01/01/2026, quy định hàng loạt nghĩa vụ mới với các tổ chức, cá nhân cung cấp dịch vụ trên không gian số, trong đó có mạng xã hội và dịch vụ truyền thông trực tuyến. Một trong những quy định là siết chặt hoạt động thu thập, xử lý dữ liệu cá nhân của người dùng, đặc biệt là dữ liệu nhạy cảm liên quan đến giấy tờ tùy thân.
Khoản 2, Điều 29 Luật Dữ liệu cá nhân số 91/2025/QH15 quy định: Tổ chức, cá nhân cung cấp dịch vụ mạng xã hội, dịch vụ truyền thông trực tuyến “Không được yêu cầu cung cấp hình ảnh, video chứa nội dung đầy đủ hoặc một phần giấy tờ tùy thân làm yếu tố xác thực tài khoản.”
Đối chiếu quy định này, theo luật sư Nguyễn Đức Hùng, Giám đốc Cty Luật Thiện Duyên, Đoàn Luật sư thành phố Hà Nội cho rằng, kể từ ngày 01/01 sắp tới, các nền tảng mạng xã hội:
❌ Không được bắt người dùng gửi ảnh CCCD, hộ chiếu, giấy tờ tùy thân.
❌ Không được lấy giấy tờ cá nhân làm điều kiện xác thực tài khoản.
❌ Không được “không gửi thì khóa tài khoản”.
Tuy nhiên, hiện nay, hành lang pháp lý về bảo vệ dữ liệu cá nhân được quy định tại Nghị định số 13/2023/NĐ-CP.
Theo Nghị định số 13/2023, dữ liệu cá nhân cơ bản bao gồm: Họ, chữ đệm và tên khai sinh, tên gọi khác (nếu có); Ngày, tháng, năm sinh; ngày, tháng, năm chết hoặc mất tích; Giới tính; Nơi sinh, nơi đăng ký khai sinh, nơi thường trú, nơi tạm trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ; Quốc tịch; Hình ảnh của cá nhân; Số điện thoại, số chứng minh nhân dân, số định danh cá nhân, số hộ chiếu, số giấy phép lái xe, số biển số xe, số mã số thuế cá nhân, số bảo hiểm xã hội, số thẻ bảo hiểm y tế; Tình trạng hôn nhân; Thông tin về mối quan hệ gia đình (cha mẹ, con cái); Thông tin về tài khoản số của cá nhân; dữ liệu cá nhân phản ánh hoạt động, lịch sử hoạt động trên không gian mạng; Các thông tin khác gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể không thuộc quy định tại khoản 4 Điều này.
Như vậy, giấy tờ tùy thân (căn cước công dân, số định danh cá nhân, số hộ chiếu) của người dùng mạng xã hội là dữ liệu cá nhân cơ bản và trong nhiều trường hợp được coi là dữ liệu nhạy cảm.
Theo điều 11 của Nghị định này, sự đồng ý của chủ thể dữ liệu chỉ có hiệu lực khi chủ thể dữ liệu tự nguyện và biết rõ các nội dung sau: Loại dữ liệu cá nhân được xử lý; Mục đích xử lý dữ liệu cá nhân; Tổ chức, cá nhân được xử lý dữ liệu cá nhân; Các quyền, nghĩa vụ của chủ thể dữ liệu. Chủ thể dữ liệu có thể đồng ý một phần hoặc với điều kiện kèm theo.
Như vậy, kể từ ngày 01/01/2026, khi Luật Dữ liệu cá nhân có hiệu lực thi hành, quy định của Luật được xem là bước thay đổi lớn so với thực tiễn thời gian qua, khi một số nền tảng từng buộc người dùng gửi ảnh căn cước công dân, chứng minh nhân dân hoặc hộ chiếu để mở khóa, khôi phục hay xác minh tài khoản. Việc thu thập và lưu trữ dữ liệu giấy tờ tùy thân được đánh giá tiềm ẩn rủi ro lớn về lộ lọt thông tin, lạm dụng dữ liệu nếu hệ thống bảo mật không bảo đảm.
Ngoài việc cấm xác thực bằng giấy tờ tùy thân, Luật Bảo vệ dữ liệu cá nhân cũng yêu cầu mạng xã hội cung cấp cho người dùng lựa chọn từ chối việc thu thập và chia sẻ cookie; cho phép bật chế độ "không theo dõi" hoặc chỉ được theo dõi hành vi sử dụng khi có sự đồng ý rõ ràng./.
