· Tác giả: Nguyễn Thị Thùy Linh · Tham vấn bởi: Luật sư Nguyễn Văn Thành · Doanh nghiệp · 8 phút đọc
Dữ liệu cá nhân nhạy cảm là gì? Cách bảo vệ hiệu quả
Hiện nay, quy định về Dữ liệu cá nhân nhạy cảm là vấn đề mọi người quan tâm bởi nó ảnh hưởng trực tiếp đến quyền của mỗi người đối với thông tin cá nhân của họ.
Hiện nay, quy định về Dữ liệu cá nhân nhạy cảm là vấn đề mọi người quan tâm bởi nó ảnh hưởng trực tiếp đến quyền của mỗi người đối với thông tin cá nhân của họ.
1. Dữ liệu cá nhân nhạy cảm là gì?
Theo quy định tại khoản 3 Điều 2 Luật Bảo vệ dữ liệu cá nhân 2025 và khoản 1 Điều 4 Nghị định 356/2025/NĐ-CP thì Dữ liệu cá nhân nhạy cảm là dữ liệu cá nhân gắn liền với quyền riêng tư của mỗi cá nhân mà khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp đến quyền và lợi ích hợp pháp của cá nhân đó bao gồm các dữ liệu sau:
a) Dữ liệu tiết lộ nguồn gốc chủng tộc, nguồn gốc dân tộc;
b) Quan điểm về chính trị, tôn giáo, tín ngưỡng;
c) Thông tin về đời sống riêng tư, bí mật cá nhân, bí mật gia đình;
d) Tình trạng sức khỏe;
đ) Dữ liệu sinh trắc học, đặc điểm di truyền;
e) Dữ liệu tiết lộ đời sống tình dục, xu hướng tình dục của cá nhân;
g) Dữ liệu về tội phạm, vi phạm pháp luật được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật;
h) Vị trí của cá nhân được xác định qua dịch vụ định vị;
i) Thông tin tên đăng nhập và mật khẩu truy cập tài khoản định danh điện tử của cá nhân; hình ảnh thẻ căn cước, thẻ căn cước công dân, chứng minh nhân dân;
k) Tên đăng nhập, mật khẩu truy cập của tài khoản ngân hàng; thông tin thẻ ngân hàng, dữ liệu về lịch sử giao dịch của tài khoản ngân hàng; thông tin tài chính, tín dụng và các thông tin về hoạt động, lịch sử giao dịch tài chính, chứng khoán, bảo hiểm của khách hàng tại các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, chứng khoán, bảo hiểm, các tổ chức được phép khác;
l) Dữ liệu theo dõi hành vi, hoạt động sử dụng dịch vụ viễn thông, mạng xã hội, dịch vụ truyền thông trực tuyến và các dịch vụ khác trên không gian mạng;
m) Dữ liệu cá nhân khác được pháp luật quy định cần giữ bí mật hoặc cần có biện pháp bảo mật chặt chẽ.
(Ảnh minh họa: Dữ liệu cá nhân nhạy cảm là gì? Cách bảo vệ hiệu quả 2025)
So với những dữ liệu cá nhân cơ bản khác như họ tên, ngày tháng năm sinh hay giới tính của cá nhân thì những dữ liệu nêu trên được xác định là dữ liệu cá nhân nhạy cảm bởi đây là những thông tin mang tính đặc thù và riêng biệt mà nếu bị xâm phạm, sẽ gây tổn hại nghiêm trọng đến danh dự, uy tín, an toàn, hoặc lợi ích kinh tế của cá nhân đó, thậm chí còn có thể gây ảnh hưởng đến an ninh quốc gia.
2. Xử lý dữ liệu cá nhân nhạy cảm có phải thông báo cho chủ thể dữ liệu không?
Căn cứ khoản 4 Điều 6 Nghị định 356/2025/NĐ-CP quy định về sự đồng ý của chủ thể dữ liệu cá nhân như sau:
Điều 6. Phương thức thể hiện sự đồng ý của chủ thể dữ liệu cá nhân
4. Đối với việc xin sự đồng ý xử lý dữ liệu cá nhân nhạy cảm, chủ thể dữ liệu phải được thông báo rằng dữ liệu cần xử lý là dữ liệu cá nhân nhạy cảm.
Như vậy căn cứ theo quy định trên thì khi dữ liệu cá nhân nhạy cảm được xử lý, chủ thể dữ liệu phải được thông báo một cách rõ ràng rằng dữ liệu cần xử lý là dữ liệu cá nhân nhạy cảm. Hay nói cách khác, việc xử lý dữ liệu cá nhân nhạy cảm phải được sự đồng ý của chủ thể dữ liệu bởi đây là những dữ liệu mang tính đặc thù nên chủ thể dữ liệu cá nhân nhạy cảm có quyền được biết và được quyết định việc xử lý dữ liệu của bản thân họ.
3. Các biện pháp bảo vệ dữ liệu cá nhân nhạy cảm
Mặc dù Luật Bảo vệ dữ liệu cá nhân 2025 và Nghị định 356/2025/NĐ-CP không thiết kế một điều khoản riêng biệt dành cho dữ liệu cá nhân nhạy cảm, nhưng thông qua các quy định mang tính nguyên tắc và được phân bổ rải rác (đặc biệt tại khoản 2 Điều 4 và khoản 2 Điều 7 Nghị định 356), có thể nhận diện một hệ thống biện pháp bảo vệ toàn diện và có chiều sâu hơn.
Cụ thể, cơ quan, tổ chức xử lý dữ liệu cá nhân nhạy cảm phải thực hiện đồng bộ các nhóm biện pháp sau:
• Biện pháp quản trị nội bộ: xây dựng quy chế bảo vệ dữ liệu cá nhân; phân công rõ trách nhiệm; thiết lập cơ chế kiểm tra, giám sát và đánh giá định kỳ.
• Biện pháp kiểm soát truy cập: phân quyền theo cấp độ; giới hạn số lượng người được tiếp cận dữ liệu; ghi nhận và lưu vết toàn bộ hoạt động truy cập để phục vụ kiểm tra, truy vết khi cần thiết.
• Biện pháp quy trình: thiết lập quy trình xử lý dữ liệu xuyên suốt từ khâu thu thập, lưu trữ, sử dụng, chia sẻ đến tiêu hủy; bảo đảm mỗi bước đều có kiểm soát và chịu trách nhiệm cụ thể.
• Biện pháp kỹ thuật: áp dụng công nghệ mã hóa, ẩn danh hóa, phân tách dữ liệu; bảo vệ hệ thống thông tin trước các nguy cơ tấn công mạng, rò rỉ hoặc truy cập trái phép.
• Biện pháp đánh giá rủi ro: nhận diện, phân tích và dự báo các nguy cơ xâm phạm dữ liệu nhạy cảm; từ đó xây dựng phương án phòng ngừa và ứng phó kịp thời.
• Biện pháp đào tạo và nâng cao nhận thức: tổ chức đào tạo nội bộ, nâng cao ý thức tuân thủ của nhân sự, bởi yếu tố con người luôn là mắt xích quan trọng trong bảo vệ dữ liệu.
Cách tiếp cận này cho thấy pháp luật đã chuyển dịch từ mô hình “quy định theo loại dữ liệu” sang mô hình “quản trị rủi ro theo vòng đời dữ liệu”, trong đó dữ liệu cá nhân nhạy cảm được bảo vệ bằng một hệ thống kiểm soát đa tầng, liên tục và chủ động.
4. Các lực lượng có trách nhiệm bảo vệ dữ liệu cá nhân nhạy cảm
Theo khoản 1 Điều 33 Luật Bảo vệ dữ liệu cá nhân 2025, trách nhiệm bảo vệ dữ liệu cá nhân nhạy cảm không chỉ thuộc về một chủ thể đơn lẻ mà là trách nhiệm của nhiều lực lượng phối hợp, bao gồm:
a) Cơ quan chuyên trách bảo vệ dữ liệu cá nhân thuộc Bộ Công an;
b) Bộ phận, nhân sự bảo vệ dữ liệu cá nhân trong cơ quan, tổ chức;
c) Tổ chức, cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân;
d) Tổ chức, cá nhân được huy động tham gia bảo vệ dữ liệu cá nhân.
Những cơ quan, tổ chức và cá nhân nêu trên giữ vai trò quan trọng trong việc xây dựng, triển khai và giám sát các biện pháp bảo vệ dữ liệu cá nhân nhạy cảm, đảm bảo tuân thủ các quy định pháp luật, ngăn chặn các hành vi vi phạm, đồng thời nâng cao nhận thức và trách nhiệm của toàn xã hội trong việc bảo vệ quyền riêng tư và an toàn thông tin của cá nhân.
Cơ chế này phản ánh cách tiếp cận quản trị hiện đại, trong đó bảo vệ dữ liệu cá nhân là một hệ sinh thái với sự tham gia của cả khu vực công và khu vực tư. Cơ quan nhà nước giữ vai trò định hướng, giám sát và xử lý vi phạm; doanh nghiệp và tổ chức chịu trách nhiệm trực tiếp trong việc triển khai biện pháp bảo vệ; trong khi các đơn vị cung cấp dịch vụ đóng vai trò hỗ trợ về công nghệ và chuyên môn.
Xem thêm:
Bảo vệ dữ liệu cá nhân: lỗi phổ biến và cách khắc phục
