Vision & Associates

Vision & Associates

Những điểm mới đáng chú ý của Luật Bảo vệ dữ liệu cá nhân

Đăng ngày: 28/07/2025 Đăng bởi:
Những điểm mới đáng chú ý của Luật Bảo vệ dữ liệu cá nhân
Ấn Phẩm 
image_pdfimage_print

Ngày 26/6/2025, Quốc hội đã thông qua Luật Bảo vệ dữ liệu cá nhân (“Luật BVDLCN”). Luật BVDLCN sẽ có hiệu lực thi hành từ ngày 01/1/2026.

Vấn đề trọng yếu nhất vẫn chưa được giải quyết từ quy định bảo vệ dữ liệu cá nhân hiện tại là Luật mới không phân biệt và loại trừ nghĩa vụ đối với bên kiểm soát, bên xử lý dữ liệu cá nhân với các mục đích giao tiếp thông thường, giao dịch mang tính cá nhân hay của hộ gia đình. Luật BVDLCN cũng không phân biệt quy mô xử lý dữ liệu để ấn định các nghĩa vụ tương ứng đối với các đối tượng này. Luật BVDLCN có một số quy định mới, sửa đổi hoặc bổ sung đáng chú ý so với Nghị định Bảo vệ dữ liệu cá nhân số 13/2023/NĐ-CP ngày 17/04/2023 (“Nghị định 13”), bao gồm:

1. Làm rõ hơn khái niệm Dữ liệu cá nhân

Luật BVDLCN (a) làm rõ dữ liệu cá nhân (“DLCN”) gồm cả dữ liệu số và thông tin dưới dạng khác mà xác định hoặc giúp xác định một con người cụ thể; (b) giới hạn nội hàm của DLCN khi khẳng định rằng sau khi khử nhận dạng, dữ liệu sẽ không còn là DLCN; (c) duy trì cách phân loại DLCN thành hai loại, trong đó DLCN cơ bản là dữ liệu được sử dụng phổ biến thường xuyên, còn DLCN nhạy cảm gắn liền với quyền riêng tư của cá nhân, khi bị xâm phạm thì sẽ ảnh hưởng trực tiếp đến quyền và lợi ích hợp pháp. Nghị định hướng dẫn Luật BVDLCN sẽ đưa ra 2 danh mục để phân loại và hướng dẫn cụ thể về hai nhóm DLCN này.

2. Tinh gọn các Quyền và Nghĩa vụ của Chủ thể dữ liệu

Luật BVDLCN xóa bỏ và gộp 11 quyền của chủ thể DLCN xuống còn 6 quyền giúp làm rõ hơn phạm vi các quyền và phù hợp với thông lệ quốc tế, đồng thời Luật cũng gỡ bỏ 1 nghĩa vụ được đánh giá là không phù hợp đang áp đặt với chủ thể DLCN (là tham gia tuyên truyền, phổ biến kỹ năng bảo vệ DLCN).

3. Kiểm soát chặt chẽ hơn việc chuyển DLCN xuyên biên giới

Luật BVDLCN

(a) Ngoài 2 trường hợp chuyển DLCN xuyên biên giới đã được quy định là: (i) Cơ quan, tổ chức, cá nhân tại Việt Nam chuyển DLCN cho tổ chức, cá nhân ở nước ngoài; (ii) Cơ quan, tổ chức, cá nhân tại Việt Nam hoặc ở nước ngoài sử dụng nền tảng ở ngoài lãnh thổ Việt Nam để xử lý DLCN được thu thập tại Việt Nam; bổ sung trường hợp thứ 3 là chuyển DLCN đang lưu trữ tại Việt Nam đến hệ thống lưu trữ dữ liệu đặt ngoài lãnh thổ Việt Nam.

Tuy nhiên, do phạm vi của việc chuyển DLCN này là rất rộng và không có hạn chế nên quy định này gây khó khăn cho các chủ thể chia sẻ thông tin. Ví dụ, bất kỳ ai gửi thư điện tử cho khách hàng nước ngoài hoặc dùng hòm thư có máy chủ đặt ở nước ngoài, dù có hay không đính kèm là các chữ ký, thông tin chứa DLCN cũng có thể bị xếp vào trường hợp (i) nêu trên và phải lập Hồ sơ đánh giá tác động chuyển DLCN ra nước ngoài. Điều này ảnh hưởng đến tất cả mọi chủ thể và trực tiếp ảnh hưởng đến những hoạt động được coi là hoạt động kinh doanh thường ngày của bất kỳ doanh nghiệp nào, và tạo ra sự bất cập trong thực tế.

(b) xác định lại mốc thời hạn mà tổ chức, cá nhân chuyển DLCN xuyên biên giới phải lập hồ sơ đánh giá tác động chuyển DLCN xuyên biên giới và gửi 01 bản chính cho cơ quan chuyên trách bảo vệ DLCN là 60 ngày kể từ ngày đầu tiên chuyển DLCN xuyên biên giới, thay cho ngày tiến hành xử lý DLCN để tạo thuận lợi hơn cho doanh nghiệp trong thực hiện và phù hợp với thực tế.

4. Thêm hành vi bị nghiêm cấm

Luật BVDLCN bổ sung nhóm hành vi chiếm đoạt, cố ý làm lộ, làm mất DLCN ngoài 06 nhóm hành vi bị nghiêm cấm liên quan đến DLCN đã được quy định.

5. Xử phạt nghiêm khắc đối với hành vi vi phạm

Để góp phần khắc phục tình trạng vi phạm pháp luật về bảo vệ dữ liệu nghiêm trọng ở Việt Nam hiện nay với những vụ rò rỉ hay mua bán thông tin cá nhân, Luật BVDLCN lần đầu tiên quy định những mức xử phạt nghiêm khắc đối với các hành vi phạm, bao gồm: (a) Mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với hành vi mua, bán DLCN là 10 lần khoản thu có được từ hành vi vi phạm; (b) Mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với tổ chức có hành vi vi phạm quy định chuyển DLCN xuyên biên giới là 5% doanh thu của năm trước liền kề của tổ chức đó; và (c) Trường hợp không có doanh thu của năm trước liền kề hoặc mức phạt tính theo doanh thu thấp hơn mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với các hành vi vi phạm khác trong lĩnh vực bảo vệ DLCN là 03 tỷ đồng thì áp dụng mức phạt tiền tối đa 03 tỷ đồng.

6. Hướng dẫn bảo vệ dữ liệu cá nhân trong một số lĩnh vực cụ thể

(a) Để bù đắp khiếm khuyết của các quy định pháp luật trước đây và nâng cao ý thức của các doanh nghiệp, Luật BVDLCN lần đầu tiên quy định cụ thể về trách nhiệm bảo vệ DLCN của cơ quan, tổ chức, cá nhân trong tuyển dụng, quản lý, sử dụng người lao động (“NLĐ”), bao gồm:

(i) Trong tuyển dụng NLĐ: Chỉ được yêu cầu cung cấp các thông tin phục vụ cho mục đích tuyển dụng phù hợp với quy định của pháp luật; thông tin được cung cấp chỉ được sử dụng vào mục đích tuyển dụng và mục đích khác theo thỏa thuận phù hợp với quy định của pháp luật; Thông tin cung cấp phải được xử lý theo quy định của pháp luật và phải được sự đồng ý của người dự tuyển; Phải xóa, hủy thông tin đã cung cấp của người dự tuyển trong trường hợp không tuyển dụng, trừ trường hợp có thỏa thuận khác với người đã dự tuyển;

(ii) Trong quản lý, sử dụng NLĐ: Việc xử lý DLCN của NLĐ được thu thập bằng biện pháp công nghệ, kỹ thuật phải đáp ứng các yêu cầu sau: Chỉ được áp dụng các biện pháp công nghệ, kỹ thuật phù hợp với quy định của pháp luật và bảo đảm quyền, lợi ích của chủ thể DLCN, trên cơ sở NLĐ biết rõ biện pháp đó; và không được xử lý, sử dụng DLCN thu thập từ các biện pháp công nghệ, kỹ thuật trái quy định của pháp luật. DLCN của NLĐ chỉ được lưu trữ trong thời hạn theo quy định của pháp luật hoặc theo thỏa thuận; và phải bị xóa, hủy khi chấm dứt hợp đồng, trừ trường hợp theo thỏa thuận hoặc pháp luật có quy định khác.

(b) Luật BVDLCN cũng điều chỉnh việc cung cấp thông tin sức khỏe bảo hiểm vốn bị để ngỏ lâu nay, theo đó cơ quan, tổ chức, cá nhân hoạt động trong lĩnh vực sức khỏe không cung cấp DLCN cho bên thứ ba là tổ chức cung cấp dịch vụ chăm sóc sức khỏe hoặc dịch vụ bảo hiểm sức khỏe, bảo hiểm nhân thọ, trừ trường hợp có yêu cầu bằng văn bản của chủ thể DLCN hoặc được Luật BVDLCN cho phép. Nếu doanh nghiệp kinh doanh tái bảo hiểm, nhượng tái bảo hiểm và chuyển DLCN cho đối tác thì việc đó cần được nêu rõ trong hợp đồng với khách hàng.

(c) Theo Luật BVDLCN, tổ chức, cá nhân hoạt động trong lĩnh vực tài chính, ngân hàng, hoạt động thông tin tín dụng có một số trách nhiệm mới sau đây: (i) Không sử dụng thông tin tín dụng của chủ thể DLCN để chấm điểm, xếp hạng tín dụng, đánh giá thông tin tín dụng, đánh giá mức độ tín nhiệm về tín dụng của chủ thể DLCN khi chưa có sự đồng ý của họ; (b) Chỉ thu thập những DLCN cần thiết phục vụ cho hoạt động thông tin tín dụng từ các nguồn phù hợp với quy định của Luật BVDLCN và các quy định khác của pháp luật có liên quan; (c) Thông báo cho chủ thể DLCN trong trường hợp lộ, mất thông tin về tài khoản ngân hàng, tài chính, tín dụng, thông tin tín dụng.

(d) Luật BVDLCN cũng quy định rõ hơn: (i) Việc xử lý DLCN của khách hàng để kinh doanh dịch vụ tiếp thị, giới thiệu sản phẩm quảng cáo phải được sự đồng ý của khách hàng, trên cơ sở khách hàng biết rõ nội dung, phương thức, hình thức, tần suất giới thiệu sản phẩm; (ii) Tổ chức, cá nhân kinh doanh dịch vụ tiếp thị, giới thiệu sản phẩm quảng cáo có trách nhiệm chứng minh việc sử dụng DLCN của khách hàng được giới thiệu sản phẩm đúng với quy định; và (iii) Tổ chức, cá nhân khi sử dụng DLCN để quảng cáo theo hành vi hoặc có mục tiêu cụ thể hoặc cá nhân hóa quảng cáo chỉ được thu thập DLCN thông qua việc theo dõi trang thông tin điện tử, cổng thông tin điện tử, ứng dụng khi có sự đồng ý của chủ thể DLCN; và phải thiết lập phương thức cho phép chủ thể DLCN từ chối chia sẻ dữ liệu; xác định thời gian lưu trữ; xóa, hủy dữ liệu khi không còn cần thiết.

(e) Theo Luật BVDLCN các tổ chức, cá nhân cung cấp dịch vụ mạng xã hội, dịch vụ truyền thông trực tuyến có trách nhiệm: (i) Không được yêu cầu cung cấp hình ảnh, video chứa nội dung đầy đủ hoặc một phần giấy tờ tùy thân làm yếu tố xác thực tài khoản; (ii) Cung cấp lựa chọn cho phép người dùng từ chối thu thập và chia sẻ tệp dữ liệu (gọi là “cookies”); (iii) Cung cấp lựa chọn “không theo dõi” hoặc chỉ được theo dõi hoạt động sử dụng dịch vụ khi có sự đồng ý của người sử dụng; (iv) Không nghe lén, nghe trộm hoặc ghi âm cuộc gọi và đọc tin nhắn văn bản khi không có sự đồng ý của chủ thể DLCN, trừ trường hợp pháp luật có quy định khác; (v) Công khai chính sách bảo mật, giải thích rõ cách thức thu thập, sử dụng và chia sẻ DLCN; v.v.

(f) Luật BVDLCN còn lần đầu tiên quy định bảo vệ DLCN trong xử lý dữ liệu lớn, trí tuệ nhân tạo, chuỗi khối, vũ trụ ảo, điện toán đám mây để phát triển công nghiệp 4.0 và đẩy mạnh chuyển đổi số ở Việt Nam; theo đó: (i) DLCN trong môi trường này phải được xử lý đúng mục đích và giới hạn trong phạm vi cần thiết; (ii) Hệ thống và dịch vụ phải được tích hợp các biện pháp bảo mật DLCN phù hợp; sử dụng phương thức xác thực, định danh phù hợp và phân quyền truy cập để xử lý DLCN; (iii) Riêng việc xử lý DLCN bằng trí tuệ nhân tạo phải thực hiện phân loại theo mức độ rủi ro để có biện pháp bảo vệ DLCN phù hợp.

(g) Luật BVDLCN quy định một số biện pháp bảo vệ tăng cường đối với một số loại DLCN nhạy cảm, bao gồm:

(i) Đối với dữ liệu vị trí cá nhân: Không áp dụng việc theo dõi định vị qua thẻ nhận dạng tần số vô tuyến và các công nghệ khác, trừ trường hợp có sự đồng ý của chủ thể DLCN hay có yêu cầu của cơ quan có thẩm quyền theo quy định của pháp luật hoặc pháp luật có quy định khác; Tổ chức, cá nhân cung cấp nền tảng ứng dụng di động phải thông báo cho người sử dụng về việc sử dụng dữ liệu vị trí cá nhân; có biện pháp ngăn chặn việc thu thập dữ liệu vị trí cá nhân của tổ chức, cá nhân không liên quan; cung cấp cho người sử dụng các tùy chọn theo dõi vị trí cá nhân.
(ii) Đối với dữ liệu sinh trắc học: Cơ quan, tổ chức, cá nhân thu thập và xử lý phải có biện pháp bảo mật vật lý đối với thiết bị lưu trữ và truyền tải dữ liệu sinh trắc học của mình, hạn chế quyền truy cập và có hệ thống theo dõi để phòng ngừa, phát hiện hành vi xâm phạm loại DLCN này, tuân thủ quy định của pháp luật và tiêu chuẩn quốc tế có liên quan; Trường hợp việc xử lý dữ liệu sinh trắc học gây thiệt hại cho chủ thể DLCN thì tổ chức, cá nhân thu thập và xử lý dữ liệu phải thông báo cho chủ thể DLCN đó theo quy định của Chính phủ.

7. Quy định điều kiện của lực lượng và dịch vụ bảo vệ dữ liệu cá nhân

Luật BVDLCN yêu cầu: (a) Tất cả các cơ quan, tổ chức xử lý DLCN; chứ không chỉ cơ quan, tổ chức xử lý dữ liệu nhạy cảm theo quy định trước đây; có trách nhiệm chỉ định bộ phận, nhân sự đủ điều kiện năng lực bảo vệ DLCN hoặc thuê tổ chức, cá nhân cung cấp dịch vụ bảo vệ DLCN; và (b) Bộ phận, nhân sự bảo vệ DLCN trong cơ quan, tổ chức; tổ chức, cá nhân cung cấp dịch vụ bảo vệ DLCN; dịch vụ xử lý DLCN phải đáp ứng điều kiện và có nhiệm vụ do Chính phủ quy định. Do đó, quy định này tạo ra gánh nặng nghĩa vụ tuân thủ khi mọi cơ quan, tổ chức đều có hoạt động xử lý DLCN, ít nhất là DLCN của nhân viên; và Nghị định đang được soạn thảo cần sớm được hoàn thiện và được Chính phủ ban hành để có những hướng dẫn cụ thể cho việc thực hiện Luật BVDLCN, trong đó cần xác định nghĩa vụ của từng nhóm doanh nghiệp tương ứng với mục đích, đối tượng chủ thể DLCN và quy mô xử lý dữ liệu.

8. Cho phép một số trường hợp được miễn trừ nghĩa vụ tuân thủ

Luật BVDLCN quy định nếu cơ quan, tổ chức, cá nhân thực hiện việc đánh giá tác động xử lý DLCN, đánh giá tác động chuyển DLCN xuyên biên giới (sau đây gọi chung là “đánh giá tác động”) theo quy định của Luật này thì không phải thực hiện đánh giá rủi ro xử lý DLCN, đánh giá tác động chuyển DLCN xuyên biên giới theo quy định của pháp luật về dữ liệu.

Nhằm giảm bớt gánh nặng của nghĩa vụ tuân thủ, Luật BVDLCN còn cho phép hộ kinh doanh, doanh nghiệp siêu nhỏ không phải thực hiện và doanh nghiệp nhỏ, doanh nghiệp khởi nghiệp được quyền lựa chọn thực hiện hoặc không thực hiện các quy định về đánh giá tác động và chỉ định bộ phận, nhân sự đủ điều kiện năng lực bảo vệ DLCN hoặc thuê tổ chức, cá nhân cung cấp dịch vụ bảo vệ DLCN trong thời gian 05 năm kể từ ngày Luật này có hiệu lực thi hành; trừ doanh nghiệp nhỏ, doanh nghiệp khởi nghiệp, hộ kinh doanh, doanh nghiệp siêu nhỏ kinh doanh dịch vụ xử lý DLCN, trực tiếp xử lý DLCN nhạy cảm hoặc xử lý DLCN của số lượng lớn chủ thể DLCN.

9. Hướng dẫn chuyển tiếp

Luật BVDLCN nêu rõ: (a) Hoạt động xử lý DLCN đang thực hiện mà đã được chủ thể DLCN đồng ý hoặc theo thỏa thuận theo quy định của Nghị định 13 trước ngày Luật BVDLCN có hiệu lực thi hành thì tiếp tục được thực hiện, không phải xin đồng ý lại hoặc thỏa thuận lại; và (b) Hồ sơ đánh giá tác động theo quy định của Nghị định 13 đã được cơ quan chuyên trách bảo vệ DLCN tiếp nhận trước ngày Luật BVDLCN có hiệu lực thi hành thì tiếp tục được sử dụng và không phải lập hồ sơ đánh giá tác động theo quy định của Luật BVDLCN; việc cập nhật các hồ sơ đã lập nêu trên sau ngày Luật BVDLCN có hiệu lực thi hành sẽ thực hiện theo quy định của Luật BVDLCN.

—–

Quay lại