Ngày 26/6/2025, Việt Nam đã ban hành Luật Bảo vệ Dữ liệu Cá nhân LPDP[1], đánh dấu một cột mốc quan trọng trong việc nâng cấp và hợp nhất hệ thống văn bản pháp luật quốc gia về quyền riêng tư. Luật này được xây dựng trên nền tảng Nghị định 13[2], văn bản đã định hướng việc bảo vệ dữ liệu cá nhân ở Việt Nam kể từ ngày 1/7/2023. Ngày 30/12/2025, Chính phủ Việt Nam đã thay thế Nghị Định 13 bằng Nghị Định 356[3], hướng dẫn một số quy định quan trọng của LPDP. Các doanh nghiệp và cá nhân có hoạt động xử lý dữ liệu cá nhân tại Việt Nam cần theo dõi sự phát triển của các quy định về bảo vệ dữ liệu cá nhân tại Việt Nam trong bối cảnh các quy đinh mới đang được xây dựng và triển khai rất nhanh, đồng thời hoạt động thực thi cũng đang được tăng cường.
1. Các nghĩa vụ quan trọng và những thách thức về tuân thủ theo Luật Bảo vệ Dữ liệu Cá nhân (LPDP) là gì?
LPDP và Nghị Định 356 có hiệu lực từ ngày 01/01/2026. Nhiều quy tắc hiện hành theo Nghị định 13 được giữ nguyên. Nếu một doanh nghiệp đã tuân thủ Nghị định 13, doanh nghiệp đó có thể không cần điều chỉnh đáng kể hoạt đông quản lý dữ liệu của mình. Tuy nhiên, các văn bản pháp luật mới cũng đưa ra nhiều yêu cầu mới liên quan đến các khía cạnh khác nhau của quá trình xử lý dữ liệu cá nhân, ví dụ như các yêu cầu về nhân sự bảo vệ dữ liệu cá nhân, giấy phép và điều kiện cung cấp dịch vụ xử lý dữ liệu cá nhân hoặc điều chỉnh các quy định cũ như là các quy định về đánh giá tác động hoặc phân loại dữ liệu cá nhân.
- Đánh giá tác động
Luật Bảo vệ dữ liệu cá nhân (LPDP) và Nghị định 356 tiếp tục yêu cầu các bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân, bên xử lý dữ liệu cá nhân thực hiện nghĩa vụ lập, nộp và duy trì báo cáo đánh giá tác động xử lý dữ liệu cá nhân (“DPIA”) và báo cáo đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài (“DTIA”). Tuy nhiên, biểu mẫu bắt buộc, trình tự, thủ tục nộp hồ sơ cũng như chu kỳ cập nhật của các báo cáo đánh giá tác động này có những thay đổi đáng kể so với quy định trước đây.
Các biểu mẫu DPIA và DTIA được quy định tại Nghị định 356. Nhìn chung, các biểu mẫu mới này vẫn yêu cầu phần lớn thông tin tương tự như Nghị định 13, bao gồm thông tin của bên kiểm soát dữ liệu và/hoặc bên xử lý dữ liệu, các loại dữ liệu được thu thập và xử lý, cũng như mục đích xử lý dữ liệu. Một trong những điều chỉnh đáng chú ý của biểu mẫu này là yêu cầu lập bản đồ luồng dữ liệu và mô hình hóa sơ đồ quy trình và hệ thống xử lý dữ liệu cá nhân. Việc xác định luồng dữ liệu và xây dựng các sơ đồ này có thể gây khó khăn cho doanh nghiệp nếu không cân nhắc kỹ lưỡng hoạt động xử lý dữ liệu của doanh nghiệp.
Sau khi được nộp cho cơ quan có thẩm quyền, các báo cáo đánh giá tác động này phải được cập nhật định kỳ 06 tháng một lần nếu có thay đổi, hoặc cập nhật ngay khi xảy ra một trong các trường hợp sau: (i) doanh nghiệp thực hiện tái cơ cấu hoặc chấm dứt hoạt động; (ii) thay đổi nhà cung cấp dịch vụ bảo vệ dữ liệu cá nhân; hoặc (iii) mở rộng hoặc điều chỉnh phạm vi kinh doanh có liên quan đến hoạt động xử lý dữ liệu cá nhân. Nghị định 356 cũng quy định rằng trong thời hạn 15 ngày kể từ ngày nhận được hồ sơ, cơ quan có thẩm quyền sẽ tiến hành rà soát và thông báo liệu báo cáo đánh giá tác động được xác định là “đạt yêu cầu” hay “chưa đạt yêu cầu và cần bổ sung thông tin”.
LPDP miễn trừ nghĩa vụ lập DTIA trong trường hợp chủ thể dữ liệu tự mình chuyển dữ liệu cá nhân ra nước ngoài, ví dụ như khi chủ thể dữ liệu sử dụng các dịch vụ do một tổ chức ở nước ngoài cung cấp.
- Nhân sự bảo vệ dữ liệu cá nhân
Nghị định 13 không quy định cụ thể các yêu cầu đối với nhân sự bảo vệ dữ liệu cá nhân nhưng LPDP và Nghị Định 356 đã đưa ra một khung quy định về nhân sự bảo vệ dữ liệu cá nhân. Theo đó, Nghị định 356 cho phép doanh nghiệp tự bố trí nhân sự bảo vệ dữ liệu cá nhân hoặc thuê bên thứ ba cung cấp dịch vụ bảo vệ dữ liệu cá nhân.
Theo Nghị định 356, một cá nhân được coi là đủ điều kiện trở thành nhân sự bảo vệ dữ liệu cá nhân nếu đáp ứng các tiêu chí sau: (i) có trình độ cao đẳng trở lên; (ii) có ít nhất 03 năm kinh nghiệm trong các lĩnh vực liên quan như pháp lý, xử lý dữ liệu, an ninh mạng, an toàn dữ liệu, quản lý rủi ro và tuân thủ; và (iii) đã được đào tạo về kiến thức pháp lý và kỹ năng chuyên môn liên quan đến bảo vệ dữ liệu cá nhân. Quy định hiện tại chưa thể hiện rõ liệu hoạt động “đào tạo” nêu trên có bắt buộc phải được thực hiện bởi một cơ sở đào tạo đủ điều kiện hay không, như từng được đề cập trong các bản dự thảo trước đây của Nghị định 356.
Trong khi đó, một tổ chức cung cấp dịch vụ bảo vệ dữ liệu cá nhân phải đáp ứng các điều kiện sau: (i) có đăng ký ngành, nghề kinh doanh phù hợp; (ii) có ít nhất 03 nhân sự bảo vệ dữ liệu cá nhân đủ điều kiện; và (iii) có sản phẩm và dịch vụ liên quan đến an ninh, an ninh mạng, công nghệ thông tin, chứng nhận hoặc tư vấn về bảo vệ dữ liệu cá nhân.
- Một số quy định đáng chú ý khác
Theo Nghị định 356, hoạt động cung cấp dịch vụ xử lý dữ liệu cá nhân được xác định là ngành, nghề kinh doanh có điều kiện và yêu cầu phải được cấp phép. Nghị định 356 quy định danh mục đầy đủ các loại dịch vụ xử lý dữ liệu cá nhân, kèm theo các điều kiện và thủ tục cấp phép tương ứng. Đáng lưu ý là các dịch vụ này chưa được thể hiện rõ trong hệ thống ngành kinh tế theo Quyết định 36/2025/QĐ-TTg về Hệ thống ngành kinh tế Việt Nam. Tuy nhiên, theo cách hiểu hiện nay, chỉ những doanh nghiệp kinh doanh các dịch vụ nêu trên mới thuộc đối tượng phải xin cấp phép. Trường hợp doanh nghiệp tự thực hiện các hoạt động này đối với dữ liệu của chính mình và phục vụ cho mục đích nội bộ, các quy định về cấp phép sẽ không áp dụng. Dù vậy, trong thực tiễn, doanh nghiệp vẫn nên cân nhắc việc xin ý kiến hướng dẫn chính thức từ cơ quan có thẩm quyền để giảm thiểu rủi ro pháp lý.
Khác với Nghị định 13 yêu cầu thông báo cho cơ quan có thẩm quyền trong vòng 72 giờ kể từ khi xảy ra sự cố vi phạm dữ liệu, LPDP quy định thời hạn 72 giờ kể từ thời điểm doanh nghiệp nhận biết được sự cố vi phạm dữ liệu. Quy định này được đánh giá là hợp lý và khả thi hơn trong thực tiễn. Ngoài các nội dung bắt buộc của thông báo, Nghị định 356 còn bổ sung yêu cầu thông báo riêng đối với các vi phạm liên quan đến dữ liệu vị trí và dữ liệu sinh trắc học. Quy định này tiếp tục nhấn mạnh tầm quan trọng của việc doanh nghiệp xây dựng và duy trì danh mục dữ liệu cá nhân đầy đủ và toàn diện.
2. Việc chuyển dữ liệu cá nhân ra nước ngoài được quản lý như thế nào, và các doanh nghiệp đang áp dụng những cách tiếp cận thực tiễn nào?
Hoạt động chuyển dữ liệu xuyên biên giới theo LPDP được xây dựng trên cơ sở Nghị định 13 với các nghĩa vụ hiện hành được điều chỉnh theo hướng chặt chẽ hơn, bao gồm duy trì nghĩa vụ lập và duy trì báo cáo đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài (DTIA), làm rõ khái niệm “chuyển dữ liệu xuyên biên giới” và thiết lập một số trường hợp miễn trừ có phạm vi hạn chế. Do đó, các tổ chức đã tuân thủ Nghị định 13 đối với hoạt động chuyển dữ liệu ra nước ngoài về cơ bản không cần phải điều chỉnh đáng kể cách tiếp cận hiện tại của mình. Tuy nhiên, Luật Dữ liệu[4] và các văn bản hướng dẫn thi hành đặt ra một vài nghĩa vụ mới và đây cũng là những vấn đề mà các doanh nghiệp đang hoạt động tại Việt Nam cần đặc biệt lưu ý.
Luật Dữ liệu và các văn bản hướng dẫn thi hành đặt ra những nghĩa vụ riêng biệt đối với các doanh nghiệp hoạt động tại Việt Nam trong trường hợp dữ liệu được chuyển ra ngoài lãnh thổ Việt Nam. Theo các quy định của Luật Dữ Liệu, chủ sở hữu dữ liệu có trách nhiệm thực hiện phân loại dữ liệu, đánh giá rủi ro, đánh giá tác động đối với việc chuyển và xử lý dữ liệu xuyên biên giới, cũng như hoàn tất các thủ tục theo quy định, bao gồm việc xin chấp thuận trước trong trường hợp liên quan đến Dữ liệu cốt lõi (Core Data) hoặc Dữ liệu thiết yếu (Essential Data)., trong một số trường hợp nhất định, một tập dữ liệu có chứa dữ liệu cá nhân có thể được phân loại là Dữ liệu cốt lõi hoặc Dữ liệu thiết yếu theo Nghị định 165/2025[5] và Quyết định số 20/2025[6] của Thủ tướng Chính phủ. Tuy nhiên, theo Nghị định 356, nếu một tập dữ liệu chứa dữ liệu cá nhân được phân loại là Dữ liệu cốt lõi hoặc Dữ liệu thiết yếu, việc thực hiện báo cáo đánh giá tác động chỉ cần được tiến hành một lần theo Nghị định 356. Trên thực tiễn, việc xây dựng và duy trì danh mục dữ liệu đầy đủ, cùng với bản đồ luồng dữ liệu chi tiết, sẽ là vấn đề thiết yếu để bảo đảm hoạt động của doanh nghiệp phù hợp với các yêu cầu pháp lý đa tầng nêu trên.
3. LPDP phù hợp hoặc khác với các tiêu chuẩn toàn cầu như GDPR của EU ở mức độ nào?
Ở cấp độ tổng quát, LPDP có nhiều điểm tương đồng với chuẩn mực quốc tế, đặc biệt là GDPR[7]. Điều này thể hiện ở phạm vi áp dụng ngoài lãnh thổ và các nguyên tắc chinhs (như giới hạn mục đích, tối thiểu hóa dữ liệu, minh bạch), cũng như việc ghi nhận các quyền và nghĩa vụ tương đương cho chủ thể dữ liệu. Tuy nhiên, cách thức vận hành của LPDP có những khác biệt đáng kể.
Sự đồng ý là một nguyên tắc trung tâm của LPDP. Theo đó, ngoại trừ một số trường hợp đặc biệt, việc xử lý dữ liệu cá nhân chỉ được thực hiện khi có sự đồng ý tự nguyện, cụ thể, được thông tin đầy đủ và rõ ràng, và phải có sự đồng ý riêng đối với dữ liệu cá nhân nhạy cảm. Luật có quy định một số trường hợp miễn trừ (ví dụ: thực hiện nghĩa vụ pháp lý, tình trạng khẩn cấp, bảo vệ tính mạng hoặc sức khỏe, cần thiết cho việc thực hiện hợp đồng, hoặc một số trường hợp “lợi ích hợp pháp” ở mức độ hạn chế), tuy nhiên các trường hợp này chỉ được coi là ngoại lệ, chứ không phải là các căn cứ pháp lý thay thế rộng rãi như trong GDPR. Đáng chú ý, LPDP có ghi nhận khái niệm “lợi ích hợp pháp”, nhưng dưới phạm vi áp dụng rất hạn chế.
Bên cạnh các quy định về dữ liệu cá nhân, doanh nghiệp còn phải tính đến cơ chế kiểm soát song song theo Luật Dữ liệu. Cách tiếp cận hai tầng này nhấn mạnh việc phân loại dữ liệu và cho thấy rõ rằng an ninh quốc gia và lợi ích công cộng được ưu tiên hơn lợi ích doanh nghiệp. Cơ quan quản lý có thẩm quyền xem xét, giám sát chặt chẽ và trong một số trường hợp có thể yêu cầu phê duyệt trước đối với hoạt động chuyển dữ liệu ra nước ngoài. Ngược lại, GDPR chủ yếu dựa trên việc công nhận mức độ bảo vệ tương đương, các biện pháp bảo đảm phù hợp (đặc biệt là Điều khoản hợp đồng tiêu chuẩn – SCCs, Quy tắc ràng buộc nội bộ – BCRs), và một số ngoại lệ hạn chế cho các tình huống cụ thể.
Trên thực tiễn, một chương trình xử lý dữ liệu tuân thủ GDPR có thể được xem là nền tảng tốt cho các doanh nghiệp hoạt động tại Việt Nam. Tuy nhiên, cách tiếp cận của Việt Nam đòi hỏi một số công việc bổ sung, bao gồm phân loại dữ liệu, đánh giá tác động và rủi ro, cũng như thực hiện các thủ tục nộp hồ sơ hoặc xin chấp thuận theo quy định. Doanh nghiệp hoạt động tại Việt Nam nên tích hợp các bước này vào quy trình tuân thủ nội bộ và theo dõi sát các hướng dẫn mới từ cơ quan quản lý.
4. Các cơ quan quản lý tại Việt Nam đang thực thi luật như thế nào — và bức tranh thực thi hiện nay ra sao?
LPDP tiếp tục xác định Bộ Công an, cụ thể là Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05), là cơ quan quản lý cho lĩnh vực dữ liệu cá nhân. A05 đồng thời cũng là cơ quan đầu mối trong việc thực thi Luật Dữ liệu, qua đó tái khẳng định định hướng chính sách của Việt Nam: an ninh quốc gia và lợi ích công cộng có thể được ưu tiên hơn so với sự thuận tiện và lợi ích thương mại.
Tuy nhiên, cũng như nhiều quy định khác tại Việt Nam, khuôn khổ pháp lý nghiêm ngặt chủ yếu vận hành như một cơ chế răn đe. Doanh nghiệp được kỳ vọng phải duy trì đầy đủ hồ sơ, tài liệu, báo cáo để sẵn sàng phục vụ công tác thanh tra, kiểm tra. Trong năm 2024, A05 đã triển khai chương trình thanh tra tuân thủ LPDP đầu tiên, theo đó yêu cầu một số tổ chức được lựa chọn phải nộp báo cáo và giải trình theo yêu cầu của cơ quan quản lý. Mặc dù tại thời điểm đó khung xử phạt vẫn chưa hoàn thiện và phạm vi đối tượng thanh tra còn hạn chế, chương trình này đã đưa ra một tín hiệu rõ ràng về xu hướng trong tương lai: hoạt động thanh tra sẽ tập trung vào việc rà soát hồ sơ và tài liệu. Đồng thời, chương trình cũng mong muốn nắm bắt các khó khăn trong quá trình triển khai và thực hiện các quy định pháp luật, nhằm xây dựng một cơ chế tuân thủ phù hợp với doanh nghiệp, nhưng vẫn nhấn mạnh rằng sự tự tuân thủ là chuẩn mực mặc định.
Bên cạnh đó, các kênh tiếp nhận khiếu nại của công chúng đang ngày càng được mở rộng. Cổng Thông tin Quốc gia về Bảo vệ dữ liệu cá nhân cho phép bất kỳ cá nhân nào cũng có thể phản ánh hành vi vi phạm. Điều này làm tăng khả năng thanh tra kiểm tra phát sinh từ khiếu nại hoặc tố giác, thay vì từ các đợt thanh tra ngẫu nhiên. Mức xử phạt theo quy định của LPDP tương đối nghiêm khắc (bao gồm cả mức phạt gắn với doanh thu đối với các hành vi vi phạm nghiêm trọng như mua bán dữ liệu cá nhân). Cách tiếp cận này tiếp tục củng cố hiệu ứng răn đe trong bối cảnh một khung xử phạt toàn diện dự kiến sẽ được hoàn thiện và áp dụng sau ngày 01/01/2026.
Kết luận
LPDP và Nghị Định 356 đánh dấu một sự chuyển dịch từ các hướng dẫn rời rạc sang một khuôn khổ thống nhất, lấy sự đồng ý làm trung tâm, vừa áp dụng các nguyên tắc bảo vệ quyền riêng tư theo thông lệ quốc tế, vừa tích hợp các cơ chế kiểm soát và yêu cầu về hồ sơ mang đặc thù của Việt Nam. Đối với các tổ chức đã tuân thủ Nghị định 13 hoặc GDPR, lộ trình phía trước không đòi hỏi thay đổi căn bản, mà chủ yếu là điều chỉnh và hoàn thiện cách tiếp cận hiện tại.
Trên thực tiễn, một chương trình tuân thủ hiệu quả nên bao gồm các bước sau:
- xây dựng và duy trì danh mục dữ liệu và bản đồ luồng dữ liệu;
- Lên quy trình cho việc cập nhật định kỳ các báo cáo DTIA/DPIA;
- Đáp ứng các yêu cầu về tiêu chuẩn, điều kiện đối với nhân sự bảo vệ dữ liệu cá nhân;
- siết chặt quản lý việc chuyển dữ liệu ra nước ngoài, đặc biệt trong trường hợp có khả năng liên quan đến Dữ liệu cốt lõi hoặc Dữ liệu thiết yếu; và
- xây dựng quy trình ứng phó sự cố và trả lời yêu cầu của cơ quan có thẩm quyền, kèm theo hồ sơ kiểm toán đầy đủ.
Trong bối cảnh các kênh khiếu nại ngày càng được mở rộng và hoạt động thanh tra chủ yếu dựa trên hồ sơ, tài liệu hóa đầy đủ và nhất quán vừa là tuyến phòng vệ đầu tiên, vừa là cách nhanh nhất để chứng minh mức độ tuân thủ của doanh nghiệp.
[1] Luật số 91/2025/QH15 về bảo vệ dữ liệu cá nhân được Quốc hội thông qua ngày 26/6/2025
[2] Nghị định số 13/2023/NĐ-CP ngày 17/4/2023 của Chính phủ về bảo vệ dữ liệu cá nhân
[3] Nghị Định số 356/2025/ND-CP ngày 30/12/2025 hướng dẫn một số điều của Luật bảo vệ dữ liệu cá nhân
[4] Luật Dữ Liệu số 60/2024/QH15 được Quốc hội thông qua ngày 30/11/2024
[5] Nghị Định 165/2025/NĐ-CP của Chính Phủ quy định chi tiết một số điều và biện pháp thi hành Luật Dữ Liệu ngày 30/6/2025
[6] Quyết Định số 20/2025/QĐ-TTg của Thủ Tướng Chính Phủ ngày 01/07/2025 ban hành danh sách Dữ Liệu Cốt Lõi và Dữ Liệu Quan Trọng
[7] Quy định (EU) số 2016/679 của Nghị viện châu Âu và Hội đồng ngày 27 tháng 4 năm 2016 về bảo vệ thể nhân liên quan đến việc xử lý dữ liệu cá nhân và về việc lưu chuyển tự do các dữ liệu đó, đồng thời bãi bỏ Chỉ thị 95/46/EC (Quy định chung về bảo vệ dữ liệu – GDPR)
