Theo Luật Bảo vệ dữ liệu cá nhân, mạng xã hội không được yêu cầu người dùng cung cấp hình ảnh, video chứa nội dung đầy đủ hoặc một phần giấy tờ tùy thân làm yếu tố xác thực tài khoản.

Luật Bảo vệ dữ liệu cá nhân có hiệu lực từ ngày 1/1/2026, đặt ra hàng loạt nghĩa vụ mới với các tổ chức, cá nhân cung cấp dịch vụ trên không gian số, trong đó có mạng xã hội và dịch vụ truyền thông trực tuyến. Một trong những quy định là siết chặt hoạt động thu thập, xử lý dữ liệu cá nhân của người dùng, đặc biệt là dữ liệu nhạy cảm liên quan đến giấy tờ tùy thân.

Theo đó, các nền tảng mạng xã hội có trách nhiệm thông báo rõ ràng cho người dùng về nội dung dữ liệu cá nhân được thu thập ngay khi cài đặt và sử dụng dịch vụ, đồng thời không được thu thập dữ liệu trái phép hoặc ngoài phạm vi đã thỏa thuận.

"Không được yêu cầu cung cấp hình ảnh, video chứa nội dung đầy đủ hoặc một phần giấy tờ tùy thân làm yếu tố xác thực tài khoản", điều 29 của Luật nêu.

Một người đang thực hiện xác minh danh tính eKYC bằng Căn cước công dân trên một ứng dụng điện thoại. Ảnh: Lưu Quý

Quy định trên được xem là bước thay đổi lớn so với thực tiễn thời gian qua, khi một số nền tảng từng buộc người dùng gửi ảnh căn cước công dân, chứng minh nhân dân hoặc hộ chiếu để mở khóa, khôi phục hay xác minh tài khoản. Việc thu thập và lưu trữ dữ liệu giấy tờ tùy thân được đánh giá tiềm ẩn rủi ro lớn về lộ lọt thông tin, lạm dụng dữ liệu nếu hệ thống bảo mật không bảo đảm.

Ngoài việc cấm xác thực bằng giấy tờ tùy thân, Luật Bảo vệ dữ liệu cá nhân cũng yêu cầu mạng xã hội cung cấp cho người dùng lựa chọn từ chối việc thu thập và chia sẻ cookie; cho phép bật chế độ "không theo dõi" hoặc chỉ được theo dõi hành vi sử dụng khi có sự đồng ý rõ ràng.

Đặc biệt, nền tảng cũng không được nghe lén, nghe trộm, ghi âm cuộc gọi và đọc tin nhắn văn bản khi không có sự đồng ý của chủ thể dữ liệu cá nhân, trừ trường hợp pháp luật có quy định khác.

Luật đồng thời yêu cầu công khai chính sách bảo mật, giải thích rõ cách thức thu thập, sử dụng, chia sẻ dữ liệu; cung cấp cơ chế để người dùng truy cập, chỉnh sửa, xóa dữ liệu cá nhân và thiết lập quyền riêng tư, báo cáo vi phạm về quyền riêng tư. Với dữ liệu cá nhân của công dân Việt Nam khi chuyển ra nước ngoài, các tổ chức phải áp dụng biện pháp bảo vệ phù hợp và xây dựng quy trình xử lý vi phạm nhanh chóng, hiệu quả.

Điều khoản sử dụng của một nền tảng nhắn tin tại Việt Nam, trong đó có đề cập thông tin giấy tờ tùy thân, tháng 12/2025. Ảnh: Lưu Quý

Cuối năm 2024, Chính phủ ban hành Nghị định 147 về quản lý, cung cấp và sử dụng dịch vụ Internet và thông tin trên mạng, trong đó lần đầu quy định cơ chế xác thực tài khoản người dùng mạng xã hội. Theo Nghị định, các nền tảng mạng xã hội có trách nhiệm xác thực tài khoản người sử dụng bằng số điện thoại di động tại Việt Nam. Chỉ trong trường hợp người dùng xác nhận không có số điện thoại di động tại Việt Nam, tổ chức, doanh nghiệp cung cấp dịch vụ mới được phép xác thực tài khoản bằng số định danh cá nhân, theo quy định của pháp luật về định danh và xác thực điện tử.

Ngoài các quy định yêu cầu tuân thủ, Luật Bảo vệ dữ liệu cá nhân cũng đưa ra mức xử phạt đối với hành vi vi phạm. Trong đó, hành vi mua bán dữ liệu cá nhân có thể bị phạt tiền tối đa gấp 10 lần khoản thu bất hợp pháp. Vi phạm quy định về chuyển dữ liệu cá nhân xuyên biên giới có thể bị phạt tới 5% doanh thu của năm trước liền kề. Với các hành vi khác, mức phạt tiền tối đa 3 tỷ đồng đối với tổ chức.

Lưu Quý