Dữ liệu cá nhân - Sự chuyển giao về pháp lý 2026 - Phần 2

Trong bối cảnh cuộc Cách mạng công nghiệp lần thứ tư đang diễn ra mạnh mẽ, dữ liệu cá nhân đã không còn là một khái niệm trừu tượng trong quản lý hành chính mà thực sự trở thành một loại tài sản chiến lược, là yếu tố then chốt thúc đẩy sự phát triển của nền kinh tế số. Tại Việt Nam, sự bùng nổ của các hoạt động xử lý dữ liệu trong các lĩnh vực từ thương mại điện tử, tài chính - ngân hàng đến y tế, giáo dục và trí tuệ nhân tạo đã đặt ra những yêu cầu cấp bách về việc thiết lập một hành lang pháp lý an toàn và minh bạch. Việc thu thập, phân tích và sử dụng dữ liệu trên quy mô lớn, nếu không được kiểm soát chặt chẽ, không chỉ đe dọa đến quyền riêng tư, danh dự, nhân phẩm của cá nhân mà còn tiềm ẩn những rủi ro nghiêm trọng về an ninh quốc gia và trật tự an toàn xã hội.

Hệ thống pháp luật Việt Nam về bảo vệ dữ liệu cá nhân đã trải qua một quá trình chuyển mình mang tính lịch sử. Nếu như trước đây, các quy định về bảo vệ thông tin cá nhân nằm phân mảnh trong nhiều văn bản luật khác nhau như Luật An toàn thông tin mạng, Luật An ninh mạng hay Bộ luật Dân sự, thì sự ra đời của Nghị định 13/2023/NĐ-CP vào ngày 17/04/2023 đã đánh dấu lần đầu tiên Việt Nam có một khung pháp lý tương đối toàn diện và chuyên biệt. Nghị định 13 không chỉ xác lập các nguyên tắc cơ bản mà còn định hình trách nhiệm của các bên liên quan trong chuỗi xử lý dữ liệu. Tuy nhiên, với vị thế là một văn bản dưới luật, Nghị định 13 vẫn bộc lộ những hạn chế nhất định về hiệu lực pháp lý và khả năng giải quyết các xung đột quyền lợi ở cấp độ cao hơn.

Nhằm nâng tầm hiệu lực pháp lý và tạo lập một môi trường số an toàn, Quốc hội đã thông qua Luật Bảo vệ dữ liệu cá nhân 2025 (Luật số 91/2025/QH15) vào ngày 26/06/2025, có hiệu lực từ ngày 01/01/2026. Sự ra đời của Luật này, cùng với Nghị định 356/2025/NĐ-CP hướng dẫn chi tiết thi hành Luật, đã đưa bảo vệ dữ liệu cá nhân từ một cơ chế điều chỉnh hành chính sang một quyền cơ bản được bảo đảm ở cấp luật chuyên ngành. Đây không chỉ là một sự thay đổi về mặt hình thức văn bản mà là một sự chuyển dịch tư duy chiến lược trong quản trị dữ liệu, khẳng định chủ quyền số quốc gia và cam kết bảo vệ quyền con người trong không gian mạng.

Bài viết này là Phần 2 của bài viết “Dữ liệu cá nhân - Sự chuyển giao về pháp lý 2026” và đi sâu vào phân tích chi tiết hơn về (i) các chế định đánh giá tác động xử lý dữ liệu cá nhân (DPIA); (ii) việc bảo vệ dữ liệu cá nhân trong lĩnh vực đặc thù; (iii) các chế tài xử phạt; (iv) so sánh với một số chế định của quốc gia khác và một số lưu ý; (v) khuyến nghị chung cho doanh nghiệp.

1. Đánh giá tác động xử lý dữ liệu (DPIA): Công cụ quản trị rủi ro bản lề

Trong giai đoạn Nghị định 13/2023/NĐ-CP, việc lập hồ sơ đánh giá tác động thường được các doanh nghiệp coi là một thủ tục hành chính mang tính hình thức để báo cáo cho Bộ Công an. Luật Bảo vệ dữ liệu cá nhân 2025 đã tái định vị DPIA như một quy trình quản trị rủi ro sống động.

Sự thay đổi trong quy trình DPIA và TIA

Nghị định 356/2025/NĐ-CP đã chuẩn hóa hệ thống 10 hồ sơ, biểu mẫu liên quan đến DPIA (trong nước) và TIA (xuyên biên giới).

• Thời hạn nộp hồ sơ: Theo Điều 25 Luật Bảo vệ dữ liệu cá nhân 2025, hồ sơ đánh giá tác động phải được gửi cho cơ quan chuyên trách trong vòng 60 ngày kể từ khi bắt đầu xử lý dữ liệu.
• Tính liên tục: Đánh giá tác động chỉ thực hiện một lần cho suốt thời gian hoạt động nhưng phải được cập nhật ngay khi có sự thay đổi về mục đích, phạm vi, loại dữ liệu hoặc bên xử lý.
• Chuyển dữ liệu xuyên biên giới (TIA): Luật Bảo vệ dữ liệu cá nhân 2025 làm rõ rằng hồ sơ TIA chỉ cần nộp một lần và cập nhật khi có yêu cầu, giúp loại bỏ sự mơ hồ của Nghị định 13/2023/NĐ-CP vốn gây khó khăn cho các doanh nghiệp đa quốc gia.
• Miễn trừ cho cơ quan nhà nước: Các cơ quan nhà nước có thẩm quyền được miễn trừ khỏi yêu cầu chuẩn bị hồ sơ DPIA và TIA cho các hoạt động thực thi công vụ.

2. Bảo vệ dữ liệu cá nhân trong các lĩnh vực đặc thù và công nghệ mới

Luật Bảo vệ dữ liệu cá nhân 2025 không chỉ đưa ra các nguyên tắc chung mà còn cung cấp các biện pháp bảo vệ chi tiết cho các lĩnh vực rủi ro cao và các công nghệ mới nổi.

Trí tuệ nhân tạo (AI) và Vũ trụ ảo (Metaverse)

Đây là những lĩnh vực lần đầu tiên được điều chỉnh cụ thể tại Điều 10 Nghị định 356/2025/NĐ-CP.

• Quyền nghiên cứu phát triển: Các tổ chức được quyền sử dụng dữ liệu để nghiên cứu, phát triển thuật toán AI nhưng phải đảm bảo tuân thủ các quy định về bảo vệ dữ liệu.
• Kết quả suy luận AI: Nếu kết quả từ AI có thể dùng để xác định một con người cụ thể thì kết quả đó cũng được coi là dữ liệu cá nhân và phải áp dụng các biện pháp bảo vệ tương ứng.
• Minh bạch thuật toán: Bên xử lý phải giải thích nguyên tắc hoạt động của thuật toán và ảnh hưởng của nó đối với quyền lợi của chủ thể dữ liệu.
• Bảo vệ trong Metaverse: Chủ thể dữ liệu trong vũ trụ ảo có quyền chỉnh sửa, ẩn danh hoặc xóa hồ sơ nhận dạng, ngay cả khi nền tảng lưu trữ lịch sử hành vi.
• Đánh giá tuân thủ định kỳ: Các tổ chức vận hành AI, Metaverse phải thực hiện đánh giá tuân thủ định kỳ 01 năm/lần.

Lĩnh vực Tài chính, Ngân hàng và Bảo hiểm

Sự an toàn của dữ liệu tài chính gắn liền với sự ổn định kinh tế và niềm tin của khách hàng. Nghị định 356/2025/NĐ-CP đặt ra các yêu cầu nghiêm ngặt:

• Phải có sự đồng ý của chủ thể khi thực hiện chấm điểm tín dụng hoặc đánh giá mức độ tín nhiệm.
• Bảo mật thông tin thẻ ngân hàng, lịch sử giao dịch và thông tin tài chính cá nhân. 
• Các tổ chức tài chính phải xây dựng cơ chế phục hồi dữ liệu và thông báo vi phạm ngay lập tức cho khách hàng.

Quản lý lao động và Tuyển dụng

Luật Bảo vệ dữ liệu cá nhân 2025 bảo vệ quyền riêng tư của người lao động trong mối quan hệ lao động thường bị coi là yếu thế:

• Nhà tuyển dụng chỉ được thu thập dữ liệu ứng viên phục vụ cho mục đích tuyển dụng. 
• Sau khi chấm dứt hợp đồng, doanh nghiệp phải xóa, hủy dữ liệu người lao động, trừ trường hợp luật định hoặc có thỏa thuận khác.

Mạng xã hội và quảng cáo trực tuyến 

• Mạng xã hội không được yêu cầu hình ảnh giấy tờ tùy thân (CCCD, hộ chiếu) làm yếu tố xác thực duy nhất một cách quá mức.
• Bên kiểm soát dịch vụ quảng cáo phải đảm bảo chủ thể dữ liệu được thông báo đầy đủ về nội dung, phương thức và tần suất quảng cáo trước khi có sự đồng ý.
• Phải cung cấp tùy chọn “Không theo dõi” (Do-not-track) và khả năng từ chối cookies, quảng cáo hướng mục tiêu cho người dùng.

3. Chế tài xử phạt: Cực kỳ nghiêm khắc và mang tính răn đe cao

Một trong những thay đổi gây chấn động nhất trong Luật Bảo vệ dữ liệu cá nhân 2025 là việc thiết lập khung xử phạt dựa trên tỷ lệ phần trăm doanh thu.

Đây là một tín hiệu mạnh mẽ cho thấy Nhà nước sẽ không nương tay với các hành vi xâm phạm dữ liệu quy mô lớn hoặc các hành vi coi thường chủ quyền dữ liệu quốc gia.

Ngoài phạt tiền, các hình phạt bổ sung và biện pháp khắc phục hậu quả bao gồm:

• Đình chỉ hoạt động xử lý dữ liệu từ 01 đến 03 tháng.
• Buộc xóa, hủy dữ liệu cá nhân đã xử lý trái phép.
• Truy cứu trách nhiệm hình sự đối với các hành vi nghiêm trọng như mua bán dữ liệu quy mô lớn hoặc gây hậu quả đặc biệt nghiêm trọng.

4. So sánh quốc tế: Việt Nam trong xu thế toàn cầu về dữ liệu cá nhân

Sự phát triển của pháp luật Việt Nam không nằm ngoài dòng chảy chung của thế giới, nhưng vẫn mang những nét đặc thù phù hợp với bối cảnh kinh tế - xã hội trong nước.

So sánh với GDPR (Liên minh Châu Âu)

Việt Nam đã học hỏi cấu trúc của GDPR về các nguyên tắc xử lý và quyền của chủ thể dữ liệu. Tuy nhiên, có những sự khác biệt đáng kể:

• Cơ chế chuyển dữ liệu: Trong khi GDPR cung cấp nhiều công cụ linh hoạt như quyết định về tính tương đương (adequacy decisions) hay các quy tắc nội bộ doanh nghiệp (BCR), Việt Nam hiện vẫn tập trung vào cơ chế kiểm soát trực tiếp thông qua việc nộp và đánh giá hồ sơ tác động.
• An ninh quốc gia: Pháp luật Việt Nam nhấn mạnh sự hài hòa giữa bảo vệ dữ liệu và bảo vệ lợi ích quốc gia, an ninh trật tự, đặc biệt là sự giám sát chặt chẽ của Bộ Công an.
• Quyền chuyển đổi dữ liệu: Việt Nam mới chỉ bước đầu ghi nhận quyền yêu cầu cung cấp dữ liệu, trong khi GDPR coi đây là một quyền năng kỹ thuật quan trọng giúp người dùng chuyển dữ liệu giữa các nền tảng một cách dễ dàng.

Cập nhật từ Hàn Quốc và Nhật Bản (2024-2025)

Cả Nhật Bản và Hàn Quốc đều có những bước tiến mạnh mẽ trong việc nâng cấp luật bảo vệ dữ liệu để đối phó với AI và hoạt động xuyên biên giới.

• Hàn Quốc (PIPA): Các sửa đổi có hiệu lực từ tháng 09/2023 và tiếp tục cập nhật vào năm 2025 tập trung vào quyền chuyển đổi dữ liệu (portability) và cơ chế xử lý dữ liệu AI. Hàn Quốc yêu cầu các tổ chức xử lý dữ liệu của trên 50.000 người phải bổ nhiệm CPO (Chief Privacy Officer) với các tiêu chuẩn năng lực khắt khe. Từ tháng 10/2025, các doanh nghiệp nước ngoài có chi nhánh tại Hàn Quốc phải chỉ định chi nhánh đó làm đại diện trong nước để chịu trách nhiệm về các vấn đề dữ liệu.
• Nhật Bản (APPI): Nhật Bản đã loại bỏ ngưỡng 5.000 chủ thể dữ liệu để áp dụng luật cho mọi doanh nghiệp, đồng thời tăng cường sự hợp tác quốc tế (như các bản ghi nhớ với Canada và EU năm 2025) để bảo vệ dữ liệu xuyên biên giới.

Sự tương đồng giữa Việt Nam và các nước Đông Á nằm ở việc thắt chặt trách nhiệm của các thực thể nước ngoài và ưu tiên bảo vệ dữ liệu trong các công nghệ mới như AI.

5. Lộ trình tuân thủ và khuyến nghị dành cho tổ chức, doanh nghiệp

Với việc Luật Bảo vệ dữ liệu cá nhân 2025 chính thức có hiệu lực từ ngày 01/01/2026, các doanh nghiệp cần có một lộ trình chuẩn bị ngay từ bây giờ để tránh các rủi ro pháp lý và tài chính.

Bước 1: Rà soát và phân loại tài sản dữ liệu

Doanh nghiệp cần thực hiện việc kiểm kê dữ liệu (data mapping) để xác định rõ loại dữ liệu nào đang thu thập, mục đích xử lý là gì, ai là người có quyền truy cập và dữ liệu đó được lưu trữ ở đâu. Việc phân loại đúng dữ liệu cơ bản và dữ liệu nhạy cảm là yếu tố then chốt để áp dụng các biện pháp bảo mật tương ứng.

Bước 2: Xây dựng nền tảng pháp trị dữ liệu

Chỉ định nhân sự chuyên trách (DPO): Trừ các doanh nghiệp được miễn trừ trong 5 năm đầu, các tổ chức khác cần bổ nhiệm nhân sự hoặc bộ phận bảo vệ dữ liệu cá nhân đáp ứng tiêu chuẩn về trình độ và chuyên môn.

Hoàn thiện hồ sơ DPIA/TIA: Doanh nghiệp cần chủ động lập hồ sơ đánh giá tác động theo các mẫu biểu tại Nghị định 356 và sẵn sàng nộp cho cơ quan chuyên trách.

Cập nhật chính sách quyền riêng tư: Rà soát các thông báo quyền riêng tư (Privacy Policy) để đảm bảo tính minh bạch, rõ ràng và tuân thủ các nguyên tắc mới về sự đồng ý.

Bước 3: Triển khai các biện pháp kỹ thuật và vận hành

Bảo mật dữ liệu nhạy cảm: Áp dụng mã hóa, khử nhận dạng và các cơ chế kiểm soát truy cập phân quyền chặt chẽ.

Quy trình xử lý yêu cầu: Xây dựng quy trình nội bộ để phản hồi các yêu cầu của khách hàng (truy cập, xóa, rút lại sự đồng ý) trong thời hạn từ 10 đến 30 ngày.

Ứng phó sự cố: Thiết lập cơ chế phát hiện và thông báo vi phạm dữ liệu trong vòng 72 giờ cho Cục An ninh mạng.

Bước 4: Đào tạo và nâng cao nhận thức

Bảo vệ dữ liệu không chỉ là vấn đề của phòng pháp chế hay CNTT mà là trách nhiệm của toàn bộ nhân viên. Doanh nghiệp cần tổ chức các buổi đào tạo định kỳ để nhân viên hiểu rõ về rủi ro và cách thức xử lý dữ liệu an toàn.

Kết luận: Kỷ nguyên mới của quản trị dữ liệu tại Việt Nam

Sự chuyển dịch từ Nghị định 13/2023/NĐ-CP sang Luật Bảo vệ dữ liệu cá nhân 2025 là một bước đi tất yếu và mang tính chiến lược của Việt Nam nhằm thích ứng với thực tế sôi động của nền kinh tế số toàn cầu. Pháp luật không còn chỉ dừng lại ở việc khuyến nghị mà đã thiết lập một “thiết quân luật” về dữ liệu với những chế tài đủ mạnh để răn đe các hành vi trục lợi hoặc coi thường quyền riêng tư của cá nhân.

Đối với người dân, Luật Bảo vệ dữ liệu cá nhân 2025 mang lại một chiếc “khiên” bảo vệ vững chắc, giúp họ lấy lại quyền kiểm soát đối với thông tin cá nhân trong không gian mạng. Đối với doanh nghiệp, đây là một thách thức lớn về chi phí tuân thủ nhưng cũng là cơ hội để chuẩn hóa hoạt động, nâng cao năng lực cạnh tranh và xây dựng niềm tin bền vững với khách hàng.

Thách thức trong thời gian tới nằm ở khâu thực thi. Việc bảo đảm sự thống nhất giữa các bộ, ngành và sự hỗ trợ kịp thời cho các doanh nghiệp nhỏ, siêu nhỏ trong giai đoạn chuyển tiếp sẽ là yếu tố quyết định sự thành công của đạo luật này. Tuy nhiên, với lộ trình rõ ràng và khung pháp lý tương đồng với quốc tế, Việt Nam đang vững vàng tiến tới mục tiêu xây dựng một xã hội số an toàn, minh bạch và nhân văn.

Xem thêm tại:

1. https://yplawfirm.vn/phap-ly/du-lieu-ca-nhan-su-chuyen-giao-ve-phap-ly-2026-phan-1
2. https://yplawfirm.vn/phap-ly/quy-dinh-moi-ve-danh-gia-tac-dong-xu-ly-du-lieu-ca-nhan-2025
3. https://yplawfirm.vn/phap-ly/tai-sao-phai-danh-gia-tac-dong-xu-ly-du-lieu-ca-nhan
4. https://yplawfirm.vn/phap-ly/vi-pham-luat-bao-ve-du-lieu-ca-nhan-co-bi-xu-phat-khong