Dữ liệu cá nhân - Sự chuyển giao về pháp lý 2026 - Phần 1

Trong bối cảnh cuộc Cách mạng công nghiệp lần thứ tư đang diễn ra mạnh mẽ, dữ liệu cá nhân đã không còn là một khái niệm trừu tượng trong quản lý hành chính mà thực sự trở thành một loại tài sản chiến lược, là yếu tố then chốt thúc đẩy sự phát triển của nền kinh tế số. Tại Việt Nam, sự bùng nổ của các hoạt động xử lý dữ liệu trong các lĩnh vực từ thương mại điện tử, tài chính - ngân hàng đến y tế, giáo dục và trí tuệ nhân tạo đã đặt ra những yêu cầu cấp bách về việc thiết lập một hành lang pháp lý an toàn và minh bạch. Việc thu thập, phân tích và sử dụng dữ liệu trên quy mô lớn, nếu không được kiểm soát chặt chẽ, không chỉ đe dọa đến quyền riêng tư, danh dự, nhân phẩm của cá nhân mà còn tiềm ẩn những rủi ro nghiêm trọng về an ninh quốc gia và trật tự an toàn xã hội.

Hệ thống pháp luật Việt Nam về bảo vệ dữ liệu cá nhân đã trải qua một quá trình chuyển mình mang tính lịch sử. Nếu như trước đây, các quy định về bảo vệ thông tin cá nhân nằm phân mảnh trong nhiều văn bản luật khác nhau như Luật An toàn thông tin mạng, Luật An ninh mạng hay Bộ luật Dân sự, thì sự ra đời của Nghị định 13/2023/NĐ-CP vào ngày 17/04/2023 đã đánh dấu lần đầu tiên Việt Nam có một khung pháp lý tương đối toàn diện và chuyên biệt. Nghị định 13 không chỉ xác lập các nguyên tắc cơ bản mà còn định hình trách nhiệm của các bên liên quan trong chuỗi xử lý dữ liệu. Tuy nhiên, với vị thế là một văn bản dưới luật, Nghị định 13 vẫn bộc lộ những hạn chế nhất định về hiệu lực pháp lý và khả năng giải quyết các xung đột quyền lợi ở cấp độ cao hơn.

Nhằm nâng tầm hiệu lực pháp lý và tạo lập một môi trường số an toàn, Quốc hội đã thông qua Luật Bảo vệ dữ liệu cá nhân 2025 (Luật số 91/2025/QH15) vào ngày 26/06/2025, có hiệu lực từ ngày 01/01/2026. Sự ra đời của Luật này, cùng với Nghị định 356/2025/NĐ-CP hướng dẫn chi tiết thi hành Luật, đã đưa bảo vệ dữ liệu cá nhân từ một cơ chế điều chỉnh hành chính sang một quyền cơ bản được bảo đảm ở cấp luật chuyên ngành. Đây không chỉ là một sự thay đổi về mặt hình thức văn bản mà là một sự chuyển dịch tư duy chiến lược trong quản trị dữ liệu, khẳng định chủ quyền số quốc gia và cam kết bảo vệ quyền con người trong không gian mạng.

Bài viết này sẽ được chia làm 02 phần và đi sâu phân tích sự chuyển dịch đó thông qua việc so sánh các nội dung cốt lõi, làm rõ những điểm cải tiến và đánh giá tác động của khung pháp lý mới đối với các tổ chức, doanh nghiệp tại Việt Nam.

1. Tầm quan trọng của việc bảo vệ dữ liệu cá nhân trong kỷ nguyên số

Bảo vệ dữ liệu cá nhân trước hết là bảo vệ phẩm giá và quyền tự do của con người. Trong môi trường số, mỗi cá nhân đều để lại những “dấu chân dữ liệu” (digital footprints) phản ánh trực tiếp danh tính, thói quen, sức khỏe, tài chính và thậm chí là quan điểm chính trị, tôn giáo. Khi những dữ liệu này bị thu thập hoặc sử dụng trái phép, hậu quả không chỉ là những thiệt hại về vật chất mà còn là sự xâm phạm nghiêm trọng đến quyền bất khả xâm phạm về đời sống riêng tư đã được Hiến pháp bảo vệ. Một hệ thống pháp luật bảo vệ dữ liệu mạnh mẽ là công cụ thiết yếu để cá nhân kiểm soát thông tin của chính mình, ngăn chặn các hành vi thao túng hành vi hoặc phân biệt đối xử dựa trên dữ liệu.

Ở góc độ kinh tế, bảo vệ dữ liệu cá nhân là nền tảng để xây dựng “niềm tin số” (digital trust). Sự phát triển của kinh tế số phụ thuộc vào việc khách hàng có sẵn sàng cung cấp thông tin cho các tổ chức, doanh nghiệp hay không. Khi người dùng tin tưởng rằng dữ liệu của họ được xử lý minh bạch, bảo mật và đúng mục đích, họ sẽ cởi mở hơn trong việc sử dụng các dịch vụ số. Ngược lại, các sự cố rò rỉ dữ liệu hoặc các hành vi mua bán dữ liệu trái phép không chỉ gây ra khủng hoảng niềm tin mà còn kéo theo những tổn thất tài chính khổng lồ cho doanh nghiệp do các lệnh xử phạt và chi phí khắc phục hậu quả. Do đó, tuân thủ pháp luật bảo vệ dữ liệu không chỉ là nghĩa vụ pháp lý mà còn là một chiến lược quản trị rủi ro và nâng cao giá trị thương hiệu trong nền kinh tế toàn cầu.

Dưới góc độ quản lý nhà nước, việc chuyển từ Nghị định 13/2023/NĐ-CP sang Luật Bảo vệ dữ liệu cá nhân 2025 thể hiện quyết tâm của Việt Nam trong việc hài hòa hóa các tiêu chuẩn nội địa với các thông lệ quốc tế như GDPR của Liên minh Châu Âu hay PIPA của Hàn Quốc. Điều này giúp các doanh nghiệp Việt Nam dễ dàng hơn trong việc tiếp cận thị trường quốc tế, đồng thời tạo cơ chế bảo vệ hữu hiệu cho công dân Việt Nam trước các thực thể nước ngoài hoạt động xuyên biên giới.

2. Khái quát khái niệm và cơ sở lý luận về bảo vệ dữ liệu cá nhân

Cơ sở lý luận của pháp luật bảo vệ dữ liệu cá nhân dựa trên nguyên tắc “quyền tự quyết về thông tin” (informational self-determination). Theo đó, mỗi cá nhân có quyền quyết định xem dữ liệu nào của mình sẽ được thu thập, xử lý bởi ai, cho mục đích gì và trong thời gian bao lâu. Khái niệm dữ liệu cá nhân trong pháp luật Việt Nam được tiếp cận theo hướng bao quát và linh hoạt, không chỉ dừng lại ở các thông tin định danh trực tiếp.

2.1. Sự thay đổi trong định nghĩa dữ liệu cá nhân

Sự chuyển dịch từ Nghị định 13/2023/NĐ-CP sang Luật Bảo vệ dữ liệu cá nhân 2025 cho thấy một sự tinh gọn và chuẩn hóa về mặt ngôn từ nhằm tránh gây hiểu nhầm trong quá trình áp dụng.

Việc loại bỏ các liệt kê rườm rà về dạng thức (ký hiệu, chữ số…) và thay bằng cụm từ “dữ liệu số hoặc thông tin dưới dạng khác” giúp định nghĩa này trở nên trung lập về mặt công nghệ, có khả năng bao quát cả những dạng thức dữ liệu mới có thể xuất hiện trong tương lai. Đặc biệt, quy định về khử nhận dạng là một bước tiến quan trọng, khuyến khích các doanh nghiệp áp dụng các biện pháp kỹ thuật để chuyển đổi dữ liệu cá nhân thành dữ liệu ẩn danh, từ đó giảm bớt gánh nặng tuân thủ mà vẫn phục vụ được mục đích phân tích và nghiên cứu.

2.2. Phân loại dữ liệu cá nhân: Từ liệt kê cứng sang danh mục linh hoạt

Pháp luật tiếp tục duy trì cách phân loại dữ liệu cá nhân thành hai nhóm: dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm, dựa trên mức độ rủi ro đối với quyền lợi của chủ thể dữ liệu khi thông tin đó bị xâm phạm. Tuy nhiên, Luật 2025 không trực tiếp liệt kê chi tiết mà giao Chính phủ ban hành danh mục cụ thể thông qua Nghị định 356/2025/NĐ-CP.

Dữ liệu cá nhân cơ bản

Dữ liệu cá nhân cơ bản phản ánh các yếu tố nhân thân, lai lịch phổ biến, thường xuyên được sử dụng trong các giao dịch xã hội. Theo Điều 3 Nghị định 356/2025/NĐ-CP, danh mục này bao gồm:

• Họ, chữ đệm và tên khai sinh, tên gọi khác.
• Ngày, tháng, năm sinh; giới tính; nơi sinh, nơi thường trú, tạm trú, địa chỉ liên hệ.
• Quốc tịch; hình ảnh của cá nhân.
• Số điện thoại, số định danh cá nhân, số hộ chiếu, số giấy phép lái xe, biển số xe.
• Tình trạng hôn nhân; thông tin về mối quan hệ gia đình (cha mẹ, con, vợ, chồng).
• Thông tin về tài khoản số của cá nhân.

Sự thay đổi đáng chú ý tại Nghị định 356 là việc loại bỏ “số chứng minh nhân dân”, “số mã số thuế cá nhân”, “số bảo hiểm xã hội” ra khỏi danh mục cơ bản vì các dữ liệu này đã được đồng nhất vào số định danh cá nhân. Ngược lại, thông tin về “vợ, chồng” được bổ sung thêm vào quan hệ gia đình, mở rộng hơn so với Nghị định 13.

Dữ liệu cá nhân nhạy cảm

Dữ liệu cá nhân nhạy cảm là những thông tin gắn liền với quyền riêng tư, khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp đến quyền, lợi ích hợp pháp của cá nhân. Theo Điều 4 Nghị định 356/2025/NĐ-CP, danh mục này đã được mở rộng và làm rõ hơn :

• Dữ liệu tiết lộ nguồn gốc chủng tộc, dân tộc; quan điểm chính trị, tôn giáo.
• Tình trạng sức khỏe, đặc điểm di truyền, dữ liệu sinh trắc học.
• Dữ liệu về tội phạm, vi phạm pháp luật được thu thập bởi cơ quan thực thi pháp luật.
• Vị trí của cá nhân được xác định qua dịch vụ định vị.
• Thông tin tài chính, tài khoản ngân hàng, chứng khoán, bảo hiểm.
• Điểm mới quan trọng: Dữ liệu theo dõi hành vi, hoạt động sử dụng dịch vụ viễn thông, mạng xã hội và không gian mạng đã được chuyển từ dữ liệu cơ bản sang dữ liệu nhạy cảm.

Việc xếp lịch sử hoạt động không gian mạng vào nhóm nhạy cảm cho thấy nhà làm luật nhận diện được mức độ nguy hiểm của việc phác họa chân dung người dùng (profiling) và các thuật toán dự báo xu hướng, từ đó yêu cầu các biện pháp bảo mật chặt chẽ hơn.

3. So sánh các nội dung cốt lõi: Từ Nghị định 13/2023/NĐ-CP sang Luật Bảo vệ dữ liệu cá nhân 2025

Sự chuyển dịch từ Nghị định lên Luật mang lại một cấu trúc pháp lý vững chắc hơn, với phạm vi áp dụng rộng hơn và chế tài xử lý nghiêm khắc hơn.

3.1. Đối tượng và phạm vi áp dụng: Khẳng định chủ quyền số

Nghị định 13/2023/NĐ-CP áp dụng cho cơ quan, tổ chức, cá nhân Việt Nam và nước ngoài có liên quan đến xử lý dữ liệu cá nhân tại Việt Nam. Luật Bảo vệ dữ liệu cá nhân 2025 kế thừa phạm vi này nhưng có những sự tinh chỉnh quan trọng về đối tượng áp dụng ngoài lãnh thổ (extraterritorial scope).

Việc cụ thể hóa đối tượng người gốc Việt Nam chưa xác định quốc tịch thể hiện tính nhân văn của pháp luật, đảm bảo quyền lợi của một nhóm đối tượng đặc thù đang sinh sống tại Việt Nam. Đồng thời, việc làm rõ phạm vi áp dụng đối với các tổ chức nước ngoài giúp các doanh nghiệp đa quốc gia xác định rõ nghĩa vụ của mình khi cung cấp dịch vụ xuyên biên giới vào Việt Nam.

3.2. Nguyên tắc xử lý dữ liệu: Trách nhiệm giải trình là trọng tâm

Luật Bảo vệ dữ liệu cá nhân 2025 xác lập 06 nguyên tắc bảo vệ dữ liệu cá nhân tại Điều 3. Mặc dù các nguyên tắc như hợp pháp, minh bạch, đúng mục đích, tối thiểu và chính xác đã có từ Nghị định 13/2023/NĐ-CP, nhưng Luật mới nhấn mạnh hơn vào nguyên tắc “Bảo mật và Trách nhiệm giải trình”.

Luật Bảo vệ dữ liệu cá nhân 2025, bên kiểm soát dữ liệu không chỉ có nghĩa vụ thực hiện các biện pháp bảo vệ mà còn phải có khả năng chứng minh sự tuân thủ thông qua các hồ sơ, bằng chứng cụ thể. Điều này thể hiện qua yêu cầu lập và lưu trữ Hồ sơ đánh giá tác động xử lý dữ liệu (DPIA), một tài liệu sống phản ánh toàn bộ quy trình quản trị rủi ro của doanh nghiệp.

3.3. Cơ chế quản lý sự đồng ý: Từ điều kiện ban đầu sang quản trị vòng đời

Sự đồng ý của chủ thể dữ liệu vẫn là “căn cứ pháp lý trung tâm” trong hệ thống pháp luật Việt Nam. Tuy nhiên, Luật Bảo vệ dữ liệu cá nhân 2025 và Nghị định 356/2025/NĐ-CP đã siết chặt cơ chế này để tránh tình trạng “đồng ý mặc định”.

• Tính tự nguyện và rõ ràng: Sự đồng ý phải được thể hiện bằng phương thức cụ thể, có thể in, sao chép được. Sự im lặng hoặc không phản hồi không được coi là sự đồng ý.
• Tách biệt mục đích: Doanh nghiệp không được phép gộp nhiều mục đích xử lý vào một lần chấp thuận. Mỗi mục đích xử lý phải được liệt kê riêng để chủ thể lựa chọn.
• Cấm điều kiện bắt buộc: Không được kèm theo điều kiện bắt buộc chủ thể dữ liệu phải đồng ý với các mục đích khác ngoài nội dung thỏa thuận chính.
• Quyền rút lại sự đồng ý: Đây là một quyền năng mạnh mẽ. Khi chủ thể rút lại sự đồng ý, doanh nghiệp phải ngừng xử lý và phản hồi trong thời hạn từ 10 đến 30 ngày tùy trường hợp.

Đáng chú ý, Luật Bảo vệ dữ liệu cá nhân 2025 đã giới thiệu cơ sở “lợi ích hợp pháp” (legitimate interest) tại Điều 19.1(a), cho phép xử lý dữ liệu mà không cần sự đồng ý trong trường hợp bảo vệ quyền hoặc lợi ích hợp pháp của các bên trước hành vi xâm phạm. Mặc dù khái niệm này tại Việt Nam vẫn còn hẹp hơn so với GDPR, nhưng nó đã mở ra một hướng đi mới cho các doanh nghiệp trong việc xử lý dữ liệu vì mục đích an ninh hoặc phòng chống gian lận. Quyền và nghĩa vụ của chủ thể dữ liệu: Chuyển dịch sang cơ chế thực thi tư pháp

Nghị định 13/2023/NĐ-CP ghi nhận 11 quyền của chủ thể dữ liệu. Luật Bảo vệ dữ liệu cá nhân 2025 đã tinh gọn các quyền này thành 06 nhóm quyền cơ bản tại Điều 4, đồng thời bổ sung cơ chế thực thi mạnh mẽ hơn.

Phân tích các quyền của chủ thể dữ liệu

Sự khác biệt lớn nhất nằm ở việc ghi nhận rõ quyền khởi kiện và yêu cầu bồi thường thiệt hại. Điều này đồng nghĩa với việc vi phạm dữ liệu cá nhân không chỉ dừng lại ở mức phạt hành chính mà còn có thể dẫn đến các vụ kiện dân sự với mức bồi thường lớn, tạo áp lực tuân thủ thực chất lên các doanh nghiệp.

Nghĩa vụ của chủ thể dữ liệu

Luật 2025 cũng xác lập rõ trách nhiệm của cá nhân đối với dữ liệu của mình và cộng đồng:

• Tự bảo vệ dữ liệu cá nhân của mình; tôn trọng và bảo vệ dữ liệu của người khác.
• Cung cấp đầy đủ, chính xác dữ liệu cá nhân theo quy định của pháp luật hoặc hợp đồng.
• Không được gây khó khăn, cản trở việc thực hiện quyền và nghĩa vụ pháp lý của các bên kiểm soát dữ liệu.

Bài viết này được chia thành 02 phần, tại phần tiếp theo chúng tôi sẽ phân tích chi tiết hơn về (i) các chế định đánh giá tác động xử lý dữ liệu cá nhân (DPIA); (ii) việc bảo vệ dữ liệu cá nhân trong lĩnh vực đặc thù; (iii) các chế tài xử phạt; (iv) so sánh với một số chế định của quốc gia khác và một số lưu ý; (v) khuyến nghị chung cho doanh nghiệp.

Xem thêm tại:

1. https://yplawfirm.vn/phap-ly/du-lieu-ca-nhan-su-chuyen-giao-ve-phap-ly-2026-phan-2
2. https://yplawfirm.vn/phap-ly/quy-dinh-moi-ve-danh-gia-tac-dong-xu-ly-du-lieu-ca-nhan-2025
3. https://yplawfirm.vn/phap-ly/tai-sao-phai-danh-gia-tac-dong-xu-ly-du-lieu-ca-nhan
4. https://yplawfirm.vn/phap-ly/vi-pham-luat-bao-ve-du-lieu-ca-nhan-co-bi-xu-phat-khong