Vào ngày 26/06/2025, Luật số 91/2025/QH15 về bảo vệ dữ liệu cá nhân (“Luật BVDLCN”) đã được ban hành ở Việt Nam. Luật BVDLCN kế thừa một số quy định của Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân (“Nghị định 13”), vốn là khung pháp lý chính của Việt Nam về vấn đề này từ 01/07/2025. Một doanh nghiệp đã tuân thủ Nghị định 13, thì sẽ không cần phải thay đổi đáng kể cơ chế quản trị dữ liệu cốt lõi. Tuy nhiên, doanh nghiệp có thể cần điều chỉnh hoạt động xử lý dữ liệu trong một số lĩnh vực cụ thể, đặc biệt là tiếp thị và trí tuệ nhân tạo (AI). Việc rà soát toàn diện các hoạt động liên quan đến dữ liệu cá nhân là cần thiết, vì Luật BVDLCN yêu cầu cập nhật các báo cáo đánh giá tác động theo chu kỳ 6 tháng. Ngoài ra, Luật BVDLCN cũng áp dụng mức phạt cao hơn và dự kiến cơ quan quản lý sẽ tăng cường thanh tra khi có dấu hiệu không tuân thủ.
Khử định danh dữ liệu cá nhân
Luật BVDLCN giới thiệu khái niệm “dữ liệu đã được khử định danh”, tức là thông tin đã được chỉnh sửa hoặc xóa bỏ để không thể xác định danh tính của bất kỳ cá nhân nào. Khi dữ liệu đáp ứng điều kiện này, dữ liệu đó không còn thuộc phạm vi điều chỉnh của Luật BVDLCN. Khái niệm này đã tồn tại ở các quốc gia khác (ví dụ: “dữ liệu ẩn danh” theo Đạo Luật Bảo vệ Dữ liệu Cá nhân của Singapore và “thông tin được xử lý ẩn danh” theo Luật Bảo vệ Thông tin Cá nhân của Nhật Bản). Tuy nhiên, cách tiếp cận của Việt Nam khác biệt ở chỗ không thừa nhận một cấp độ trung gian, tức là dữ liệu được “pseudonymized” (ẩn danh giả), hay là loại dữ liệu cho phép đảo ngược các kết nối ẩn danh trong điều kiện kiểm soát.
Mặc dù “dữ liệu đã được khử định danh” không được điều chỉnh bởi Luật BVDLCN, Điều 14(6) áp dụng các hạn chế nghiêm ngặt đối với hành vi khử định danh, bao gồm yêu cầu quy trình phải được lập thành văn bản, kiểm tra định kỳ và cấm tái định danh. Cách tiếp cận này này tương tự như Singapore và Nhật Bản, nhưng chi tiết và nhiều ràng buộc hơn so với quy định của GDPR của châu Âu, vốn chủ yếu yêu cầu khử định danh dựa theo hướng dẫn ngành.
Luật BVDLCN quy định tổ chức thực hiện việc khử định danh phải chịu trách nhiệm với rủi ro trước khi xử lý và hàm ý bên kiểm soát dữ liệu chịu trách nhiệm sau khi xử lý nếu tiếp tục nắm giữ hoặc khai thác dữ liệu. Khi áp dụng khái niệm mới này, doanh nghiệp cần lưu ý các điểm sau:
- Áp dụng phương pháp đánh giá rủi ro đã được công nhận (ví dụ, ISO/IEC 20889 hoặc khung NIST De-Identification) để chứng minh quy trình khử định danh có khả năng bảo vệ khi bị truy vấn.
- Theo dõi liên tục các bộ dữ liệu phụ trợ và các vụ rò rỉ dữ liệu. Việc một cơ sở dữ liệu bị lộ (ví dụ metadata viễn thông) có thể khiến các tập dữ liệu đã được khử định danh trở nên có thể được tái định danh.
- Thiết lập chu kỳ rà soát định kỳ đối với dữ liệu khử định danh, đồng bộ với chu kỳ cập nhật bắt buộc báo cáo đánh giá tác động xử lý dữ liệu và Báo cáo đánh giá tác động chuyển dữ liệu ra nước ngoài.
Đánh giá tác động và Nhân sự bảo vệ dữ liệu
Yêu cầu lập, nộp và lưu trữ Đánh giá tác động xử lý dữ liệu (DPIA) và Đánh giá tác động chuyển dữ liệu ra nước ngoài (DTIA) vẫn được giữ nguyên trong Luật BVDLCN. DPIA và DTIA phải được cập nhật 6 tháng một lần khi có thay đổi hoặc ngay lập tức khi phát sinh bất kỳ trường hợp nào sau đây:
- Tái cơ cấu hoặc chấm dứt hoạt động: Cơ quan, tổ chức, đơn vị bị tổ chức lại, chấm dứt hoạt động, giải thể hoặc bị tuyên bố phá sản;
- Thay đổi nhà cung cấp dịch vụ: có sự thay đổi về thông tin của cá nhân hoặc tổ chức cung cấp dịch vụ bảo vệ dữ liệu cá nhân;;
- Mở rộng hoặc sửa đổi phạm vi kinh doanh: Bổ sung hoặc điều chỉnh ngành nghề có liên quan đến hoạt động xử lý dữ liệu cá nhân như đã ghi nhận trong DPIA hoặc DTIA trước đó.
Luật BVDLCN miễn trừ nghĩa vụ lập DTIA nếu chính chủ thể dữ liệu tự truyền dữ liệu của họ ra nước ngoài (ví dụ người dùng sử dụng dịch vụ do tổ chức nước ngoài cung cấp).
Nghị định 13/2023 yêu cầu các bên xử lý dữ liệu nhạy cảm chỉ cần thành lập bộ phận bảo vệ dữ liệu và chỉ định nhân sự phụ trách, nhưng không đặt ra tiêu chuẩn cụ thể cũng như khung tuân thủ rõ ràng. Dự thảo Luật BVDLCN trước đây từng đề xuất các yêu cầu khắt khe đối với chức danh cán bộ bảo vệ dữ liệu và dịch vụ bảo vệ/xử lý dữ liệu, song các quy định này đã bị loại bỏ khỏi bản chính thức. Luật BVDLCN hiện chỉ quy định rằng các vấn đề trên sẽ được hướng dẫn chi tiết trong các văn bản quy phạm pháp luật cấp dưới, trong đó nêu rõ tiêu chuẩn, trách nhiệm của cán bộ/bộ phận bảo vệ dữ liệu cũng như điều kiện cung cấp dịch vụ bảo vệ hoặc xử lý dữ liệu.
Bảo vệ dữ liệu cá nhân theo lĩnh vực
Mục 2 của Luật BVDLCN quy định thêm các yêu cầu bảo vệ dữ liệu áp dụng cho một số ngành, lĩnh vực hoặc hoạt động cụ thể. Các điều khoản này mang tính khái quát và cần được đọc kết hợp với pháp luật chuyên ngành tương ứng; dự kiến Chính phủ sẽ ban hành hướng dẫn chi tiết. Dưới đây là tổng quan những quy định trong Luật BVDLCN hiện chưa được điều chỉnh bởi các văn bản chuyên ngành hiện hành:
- Nhân sự: Dữ liệu cá nhân được thu thập trong quá trình tuyển dụng phải được xóa bỏ nếu ứng viên không được tuyển dụng, trừ khi ứng viên đã có văn bản đồng ý lưu giữ. Dữ liệu phát sinh trong suốt quan hệ lao động phải được xóa khi quan hệ lao động chấm dứt, trừ trường hợp pháp luật yêu cầu lưu trữ. Trong thời gian làm việc, người sử dụng lao động có thể triển khai các công cụ giám sát sử dụng công nghệ hoặc kỹ thuật hợp pháp, với điều kiện người lao động được thông báo trước về việc sử dụng các công cụ này.
- Quảng cáo: Việc xử lý dữ liệu khách hàng cho mục đích quảng cáo chỉ được phép khi có sự đồng ý của khách hàng. Sự đồng ý chỉ có giá trị khi khách hàng đã được thông báo đầy đủ về nội dung, phương thức và tần suất quảng cáo, đồng thời khách hàng có thể từ chối bất cứ lúc nào. Yêu cầu về sự đồng ý và cơ chế từ chối tương tự cũng áp dụng khi dữ liệu cá nhân được sử dụng cho quảng cáo theo mục tiêu, quảng cáo cá nhân hóa hoặc quảng cáo dựa trên hành vi.
- Mạng xã hội, viễn thông trực tuyến: Việc yêu cầu người dùng cung cấp ảnh hoặc video thể hiện toàn bộ hay một phần giấy tờ tuỳ thân (ID) của chủ thể dữ liệu nhằm mục đích xác minh là hành vi trái pháp luật. Việc thu thập dữ liệu cá nhân thông qua cookie hoặc các công nghệ tương tự cần phải có sự đồng ý của người dùng. Các nền tảng bắt buộc phải công bố chính sách quyền riêng tư, trong đó nêu rõ cách thức thu thập, sử dụng và chia sẻ dữ liệu; cung cấp cơ chế để người dùng truy cập, chỉnh sửa hoặc xóa dữ liệu của mình; cho phép người dùng thiết lập tùy chọn quyền riêng tư; và tiếp nhận báo cáo về sự cố an ninh hoặc vi phạm quyền riêng tư.
Dữ liệu lớn, AI, blockchain, thực tế ảo và điện toán đám mây:
Việc xử lý dữ liệu cá nhân trong các môi trường này chỉ được sử dụng cho mục đích hợp pháp và trong phạm vi thật sự cần thiết, đồng thời phải bảo đảm quyền và lợi ích hợp pháp của chủ thể dữ liệu. Các hệ thống ứng dụng các công nghệ nêu trên phải tích hợp các biện pháp bảo mật dữ liệu thích hợp, quy trình xác thực và định danh, cùng cơ chế kiểm soát truy cập. Trường hợp dữ liệu cá nhân được xử lý bằng hệ thống trí tuệ nhân tạo, dữ liệu phải được phân loại theo cấp độ rủi ro để áp dụng biện pháp bảo vệ tương ứng.
Xử phạt
Luật BVDLCN thiết lập một khung chế tài toàn diện đối với các hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân, bao gồm cả xử phạt vi phạm hành chính và truy cứu trách nhiệm hình sự. Các chế tài tài chính đặc biệt nghiêm khắc: giao dịch mua bán dữ liệu cá nhân có thể bị phạt tối đa gấp mười lần giá trị giao dịch, trong khi vi phạm quy định về chuyển dữ liệu cá nhân ra nước ngoài có thể bị phạt tới 5% doanh thu của tổ chức vi phạm trong năm tài chính liền kề trước đó.
Trước mức độ rủi ro này, doanh nghiệp cần khẩn trương rà soát tình trạng tuân thủ, xác định các điểm rủi ro trọng yếu và theo dõi sát sao quá trình ban hành các văn bản hướng dẫn chi tiết theo Luật BVDLCN. Khi Việt Nam tiếp tục hoàn thiện hệ thống pháp luật về bảo vệ dữ liệu cá nhân, việc cập nhật kịp thời các nghĩa vụ mới sẽ mang tính quyết định.
Với thế mạnh hàng đầu thị trường trong lĩnh vực quyền riêng tư, bảo vệ dữ liệu và an ninh thông tin, Russin & Vecchi sẵn sàng hỗ trợ doanh nghiệp vượt qua thách thức tuân thủ mới và định hướng hoạt động trong bối cảnh pháp lý đang không ngừng thay đổi.
