Mạng xã hội không được yêu cầu người dùng cung cấp giấy tờ tùy thân để xác thực

VHO - Từ ngày 1.1.2026, các nền tảng mạng xã hội và dịch vụ truyền thông trực tuyến hoạt động tại Việt Nam sẽ không được yêu cầu người dùng cung cấp hình ảnh, video giấy tờ tùy thân để xác thực tài khoản, đồng thời phải tuân thủ hàng loạt quy định nghiêm ngặt hơn về bảo vệ dữ liệu cá nhân.

Luật Bảo vệ dữ liệu cá nhân vừa được Quốc hội thông qua và có hiệu lực từ ngày 1.1.2026, đặt ra khuôn khổ pháp lí toàn diện nhằm tăng cường bảo vệ quyền riêng tư của người dân trong môi trường số.

Đáng chú ý, luật qui định rõ các nền tảng mạng xã hội và dịch vụ truyền thông trực tuyến không được yêu cầu người dùng cung cấp hình ảnh, video chứa toàn bộ hoặc một phần giấy tờ tùy thân như căn cước công dân, chứng minh nhân dân, hộ chiếu hay giấy phép lái xe để làm yếu tố xác thực tài khoản.

Theo Điều 29, tổ chức, cá nhân cung cấp dịch vụ mạng xã hội, dịch vụ truyền thông trực tuyến có trách nhiệm thông báo rõ ràng cho người dùng về các loại dữ liệu cá nhân được thu thập ngay từ thời điểm cài đặt và sử dụng dịch vụ. Việc thu thập dữ liệu phải đúng mục đích, đúng phạm vi đã thỏa thuận, không được thu thập trái phép hoặc vượt quá phạm vi thỏa thuận với người dùng.

Đây được xem là thay đổi quan trọng so với thực tiễn thời gian qua, khi một số nền tảng từng buộc người dùng gửi ảnh giấy tờ cá nhân để mở khóa hoặc khôi phục tài khoản. Việc lưu trữ loại dữ liệu nhạy cảm này được đánh giá tiềm ẩn nhiều rủi ro về lộ lọt, chiếm đoạt hoặc lạm dụng thông tin cá nhân.

Bên cạnh đó, các nền tảng mạng xã hội phải cung cấp cho người dùng lựa chọn từ chối việc thu thập và chia sẻ tệp dữ liệu cookie; cho phép bật chế độ “không theo dõi” hoặc chỉ được theo dõi hành vi sử dụng khi có sự đồng ý rõ ràng của người dùng.

Luật cũng nghiêm cấm hành vi nghe lén, nghe trộm, ghi âm cuộc gọi hoặc đọc tin nhắn văn bản khi chưa có sự đồng ý của chủ thể dữ liệu, trừ trường hợp pháp luật có qui định khác.

Luật Bảo vệ dữ liệu cá nhân đồng thời yêu cầu công khai chính sách bảo mật, giải thích minh bạch cách thức thu thập, sử dụng và chia sẻ dữ liệu; cung cấp cơ chế để người dùng truy cập, chỉnh sửa, xóa dữ liệu cá nhân, thiết lập quyền riêng tư và phản ánh các vi phạm liên quan đến bảo mật thông tin.

Với dữ liệu cá nhân của công dân Việt Nam được chuyển ra nước ngoài, các tổ chức phải áp dụng biện pháp bảo vệ phù hợp và xây dựng quy trình xử lý sự cố nhanh chóng, hiệu quả.

Về chế tài, luật quy định mức xử phạt rất nặng đối với các hành vi vi phạm. Cụ thể, tổ chức mua bán dữ liệu cá nhân có thể bị phạt tới 10 lần khoản thu từ hành vi vi phạm hoặc tối đa 3 tỉ đồng nếu không xác định được khoản thu.

Đối với vi phạm chuyển dữ liệu cá nhân xuyên biên giới trái quy định, mức phạt tối đa có thể lên tới 5% doanh thu của năm trước liền kề.

Ngoài ra, nhiều hành vi vi phạm khác trong lĩnh vực bảo vệ dữ liệu cá nhân cũng có thể bị phạt tới 3 tỉ đồng đối với tổ chức.