1. Nghiêm cấm hành vi mua bán dữ liệu cá nhân, sử dụng dữ liệu cá nhân của người khác để thực hiện hành vi trái quy định của pháp luật
Các hành vi bị nghiêm cấm liên quan đến dữ liệu cá nhân, gồm:
- Xử lý dữ liệu cá nhân nhằm chống lại Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam, gây ảnh hưởng đến quốc phòng, an ninh quốc gia, trật tự, an toàn xã hội, quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân.
- Cản trở hoạt động bảo vệ dữ liệu cá nhân.
- Lợi dụng hoạt động bảo vệ dữ liệu cá nhân để thực hiện hành vi vi phạm pháp luật.
- Xử lý dữ liệu cá nhân trái quy định của pháp luật.
- Sử dụng dữ liệu cá nhân của người khác, cho người khác sử dụng dữ liệu cá nhân của mình để thực hiện hành vi trái quy định của pháp luật.
- Mua, bán dữ liệu cá nhân, trừ trường hợp luật có quy định khác.
- Chiếm đoạt, cố ý làm lộ, làm mất dữ liệu cá nhân.
(Điều 7 Luật Bảo vệ dữ liệu cá nhân)
2. Phạt tiền tối đa 10 lần khoản thu có được từ hành vi mua, bán dữ liệu cá nhân 
Mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với hành vi mua, bán dữ liệu cá nhân là 10 lần khoản thu có được từ hành vi vi phạm; trường hợp không có khoản thu từ hành vi vi phạm hoặc mức phạt tính theo khoản thu có được từ hành vi vi phạm thấp hơn 03 tỷ đồng (mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với các hành vi vi phạm khác trong lĩnh vực bảo vệ dữ liệu cá nhân) thì áp dụng mức phạt tiền 03 tỷ đồng.
Mức phạt tiền tối đa này được áp dụng đối với tổ chức; cá nhân thực hiện cùng hành vi vi phạm thì mức phạt tiền tối đa bằng một phần hai mức phạt tiền đối với tổ chức.
(Điều 8 Luật Bảo vệ dữ liệu cá nhân)
3. Việc xử lý dữ liệu cá nhân của trẻ em phải được sự đồng ý của người đại diện theo pháp luật. Việc xử lý dữ liệu cá nhân của trẻ em nhằm công bố, tiết lộ thông tin về đời sống riêng tư, bí mật cá nhân của trẻ em từ đủ 07 tuổi trở lên thì phải có sự đồng ý của trẻ em và người đại diện theo pháp luật.
Đối với trẻ em thì người đại diện theo pháp luật thay mặt thực hiện các quyền của chủ thể dữ liệu cá nhân, trừ các trường hợp xử lý dữ liệu cá nhân không cần sự đồng ý của chủ thể dữ liệu cá nhân (bao gồm: Để bảo vệ tính mạng, sức khỏe, danh dự, nhân phẩm, quyền, lợi ích hợp pháp của chủ thể dữ liệu cá nhân hoặc người khác trong trường hợp cấp bách; bảo vệ quyền hoặc lợi ích chính đáng của mình, của người khác hoặc lợi ích của Nhà nước, của cơ quan tổ chức một cách cần thiết trước hành vi xâm phạm lợi ích nói trên. Để giải quyết tình trạng khẩn cấp; nguy cơ đe dọa an ninh quốc gia nhưng chưa đến mức ban bố tình trạng khẩn cấp; phòng, chống bạo loạn, khủng bố, phòng, chống tội phạm và vi phạm pháp luật. Phục vụ hoạt động của cơ quan nhà nước, hoạt động quản lý nhà nước theo quy định của pháp luật. Thực hiện thỏa thuận của chủ thể dữ liệu cá nhân với cơ quan, tổ chức, cá nhân có liên quan theo quy định của pháp luật.Trường hợp khác theo quy định của pháp luật)
Việc xử lý dữ liệu cá nhân của trẻ em nhằm công bố, tiết lộ thông tin về đời sống riêng tư, bí mật cá nhân của trẻ em từ đủ 07 tuổi trở lên thì phải có sự đồng ý của trẻ em và người đại diện theo pháp luật.
Ngừng xử lý dữ liệu cá nhân của trẻ em trong trường hợp người đại diện rút lại sự đồng ý cho phép xử lý dữ liệu cá nhân của trẻ em; theo yêu cầu của cơ quan có thẩm quyền khi có đủ căn cứ chứng minh việc xử lý dữ liệu cá nhân có thể xâm phạm đến quyền, lợi ích hợp pháp của trẻ em hoặc trường hợp pháp luật có quy định khác.
(Điều 24 Luật Bảo vệ dữ liệu cá nhân)
4. Các nền tảng mạng xã hội, dịch vụ truyền thông trực tuyến không được yêu cầu cung cấp hình ảnh, video chứa nội dung đầy đủ hoặc một phần giấy tờ tùy thân làm yếu tố xác thực tài khoản
Tổ chức, cá nhân cung cấp dịch vụ mạng xã hội, dịch vụ truyền thông trực tuyến có trách nhiệm sau đây:
- Thông báo rõ ràng nội dung dữ liệu cá nhân thu thập khi chủ thể dữ liệu cá nhân cài đặt và sử dụng mạng xã hội, dịch vụ truyền thông trực tuyến; không thu thập trái phép dữ liệu cá nhân và ngoài phạm vi theo thỏa thuận với khách hàng;
- Không được yêu cầu cung cấp hình ảnh, video chứa nội dung đầy đủ hoặc một phần giấy tờ tùy thân làm yếu tố xác thực tài khoản;
- Cung cấp lựa chọn cho phép người dùng từ chối thu thập và chia sẻ tệp dữ liệu (gọi là cookies);
- Cung cấp lựa chọn “không theo dõi” hoặc chỉ được theo dõi hoạt động sử dụng mạng xã hội, dịch vụ truyền thông trực tuyến khi có sự đồng ý của người sử dụng;
- Không nghe lén, nghe trộm hoặc ghi âm cuộc gọi và đọc tin nhắn văn bản khi không có sự đồng ý của chủ thể dữ liệu cá nhân, trừ trường hợp pháp luật có quy định khác;
- Công khai chính sách bảo mật, giải thích rõ cách thức thu thập, sử dụng và chia sẻ dữ liệu cá nhân; cung cấp cho người dùng cơ chế truy cập, chỉnh sửa, xóa dữ liệu và thiết lập quyền riêng tư cho dữ liệu cá nhân, báo cáo các vi phạm về bảo mật và quyền riêng tư; bảo vệ dữ liệu cá nhân của công dân Việt Nam khi chuyển dữ liệu xuyên biên giới; xây dựng quy trình xử lý vi phạm về bảo vệ dữ liệu cá nhân nhanh chóng và hiệu quả.
(Điều 29 Luật Bảo vệ dữ liệu cá nhân)
5. Ghi âm, ghi hình tại nơi công cộng khi nào không cần có sự đồng ý của chủ thể dữ liệu cá nhân
 - Cơ quan, tổ chức, cá nhân được ghi âm, ghi hình và xử lý dữ liệu cá nhân thu được từ hoạt động ghi âm, ghi hình tại nơi công cộng, hoạt động công cộng mà không cần có sự đồng ý của chủ thể dữ liệu cá nhân trong các trường hợp sau đây:
+ Để thực hiện nhiệm vụ quốc phòng, bảo vệ an ninh quốc gia, bảo đảm trật tự, an toàn xã hội, bảo vệ quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân;
+ Âm thanh, hình ảnh, các thông tin nhận dạng khác thu được từ các hoạt động công cộng bao gồm hội nghị, hội thảo, hoạt động thi đấu thể thao, biểu diễn nghệ thuật và hoạt động công cộng khác mà không làm tổn hại đến danh dự, nhân phẩm, uy tín của chủ thể dữ liệu cá nhân;
- Trường hợp khác theo quy định của pháp luật.
-Trường hợp ghi âm, ghi hình theo quy định trên, cơ quan, tổ chức, cá nhân có trách nhiệm thông báo hoặc bằng hình thức thông tin khác để chủ thể dữ liệu cá nhân biết được mình đang bị ghi âm, ghi hình, trừ trường hợp pháp luật có quy định khác.
- Dữ liệu cá nhân thu được chỉ được xử lý, sử dụng phù hợp với mục đích xử lý, không được sử dụng vào các mục đích trái pháp luật hoặc xâm phạm đến quyền, lợi ích hợp pháp của chủ thể dữ liệu cá nhân.
- Dữ liệu cá nhân thu được từ hoạt động ghi âm, ghi hình tại nơi công cộng, hoạt động công cộng chỉ được lưu trữ trong khoảng thời gian cần thiết để phục vụ mục đích thu thập, trừ trường hợp pháp luật có quy định khác. Khi hết thời hạn lưu trữ, dữ liệu cá nhân phải được xóa, hủy theo quy định của Luật này.
- Cơ quan, tổ chức, cá nhân thực hiện ghi âm, ghi hình, xử lý dữ liệu cá nhân thu được từ ghi âm, ghi hình trong các trường hợp quy định trên có trách nhiệm bảo vệ dữ liệu cá nhân theo quy định của Luật này và quy định khác của pháp luật có liên quan.
(Điều 32 Luật Bảo vệ dữ liệu cá nhân)

Bích Hảo