BẢN TIN PHÁP LÝ: LUẬT BẢO VỆ DỮ LIỆU CÁ NHÂN

Luật Bảo vệ dữ liệu cá nhân (dự kiến có hiệu lực từ ngày 01/01/2026) (“Luật BVDLCN”) là văn bản pháp luật nhằm quy định toàn diện về bảo vệ dữ liệu cá nhân tại Việt Nam, bổ sung và mở rộng các nội dung so với Nghị định 13/2023/NĐ-CP (có hiệu lực từ ngày 01/07/2023) (“Nghị định 13”). Nghị định 13 được ban hành nhằm đáp ứng nhu cầu quản lý dữ liệu trong bối cảnh công nghệ thông tin phát triển mạnh mẽ, trong khi Dự thảo Luật BVDLCN bao quát toàn bộ các lĩnh vực xử lý dữ liệu cá nhân, từ kinh doanh, công nghệ, đến các hoạt động nhà nước. Dưới đây là phân tích chi tiết của ALTAS về các nội dung, điểm mới và sự khác biệt giữa hai văn bản.

I - CÁC ĐỊNH NGHĨA MỚI

Luật BVDLCN bổ sung và làm rõ một số định nghĩa quan trọng nhằm mở rộng phạm vi điều chỉnh và tạo cơ sở pháp lý cho các quy định chuyên sâu về xử lý dữ liệu cá nhân. Một số định nghĩa nổi bật bao gồm:

1. Thông tin giúp xác định một con người cụ thể là những dữ liệu được hình thành từ các hoạt động của cá nhân mà khi được kết hợp với các thông tin, dữ liệu lưu trữ khác có thể dẫn đến việc xác định một cá nhân cụ thể. Khái niệm này mở rộng phạm vi dữ liệu cần bảo vệ, bao gồm cả thông tin gián tiếp nhận dạng cá nhân thông qua công nghệ hoặc dữ liệu lớn (big data).

2. Dữ liệu phi cá nhân là những dữ liệu không gắn liền với một cá nhân cụ thể hoặc không thể được sử dụng để nhận dạng một cá nhân cụ thể. Quy định này nhằm phân định rõ ràng giữa dữ liệu cá nhân và dữ liệu phi cá nhân để đảm bảo tính minh bạch và hiệu quả trong quản lý.

3. Khử nhận dạng dữ liệu cá nhân là quá trình ẩn danh, xóa hoặc thay thế các yếu tố định danh (như tên thật, số căn cước, địa chỉ, v.v.) bằng tên giả, mã hóa hoặc các định danh không thể truy ngược nhằm tạo ra dữ liệu mới không còn có thể xác định một cá nhân cụ thể. Đây là biện pháp kỹ thuật được khuyến nghị trong quá trình xử lý dữ liệu nhằm giảm thiểu rủi ro và tăng cường bảo vệ quyền riêng tư.

II - QUY ĐỊNH VỀ HÀNH VI NGHIÊM CẤM VÀ MỨC PHẠT

Luật BVDLCN liệt kê cụ thể các hành vi bị nghiêm cấm nhằm bảo vệ dữ liệu cá nhân, bao gồm:

1. Xử lý dữ liệu cá nhân trái với quy định của pháp luật về bảo vệ dữ liệu cá nhân; tạo ra thông tin, dữ liệu nhằm chống lại Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam, gây ảnh hưởng tới quốc phòng, an ninh quốc gia, trật tự an toàn xã hội, quyền và lợi ích hợp pháp của tổ chức, cá nhân khác.

2. Cản trở hoạt động bảo vệ dữ liệu cá nhân của cơ quan chức năng có thẩm quyền.

3. Lợi dụng hoạt động bảo vệ dữ liệu cá nhân để thực hiện hành vi vi phạm pháp luật.

4. Thu thập, xử lý, chuyển giao dữ liệu cá nhân trái quy định của pháp luật.

5. Mua, bán dữ liệu cá nhân.

6. Cố ý chiếm đoạt, làm lộ, mất dữ liệu cá nhân.

Về chế tài xử phạt vi phạm, Luật BVDLCN đưa ra cơ chế xử lý vi phạm toàn diện, áp dụng linh hoạt các chế tài theo mức độ nghiêm trọng của hành vi vi phạm. Cụ thể, tổ chức, cá nhân vi phạm các quy định về bảo vệ dữ liệu cá nhân có thể phải chịu trách nhiệm dân sự, bị xử lý kỷ luật, xử phạt hành chính hoặc truy cứu trách nhiệm hình sự, tùy theo tính chất và mức độ vi phạm.

Một điểm mới quan trọng của Luật là việc áp dụng mức phạt hành chính tính theo tỷ lệ phần trăm doanh thu thay vì áp dụng mức phạt cố định như Nghị định 13/2023/NĐ-CP. Theo đó, mức xử phạt hành chính có thể dao động từ 1% đến 5% doanh thu của năm liền kề trước đó của tổ chức vi phạm. Cách tiếp cận này phản ánh xu hướng quốc tế trong việc tăng cường tính răn đe đối với các hành vi vi phạm trong lĩnh vực bảo vệ dữ liệu cá nhân.

Chính phủ sẽ ban hành văn bản quy định chi tiết về mức phạt, khung tiền phạt và các tình tiết tăng nặng, giảm nhẹ đối với từng hành vi vi phạm cụ thể.

III - DataTrust CE – Giải pháp hỗ trợ tuân thủ bảo vệ dữ liệu cá nhân

Để trang bị cho khách hàng các công cụ hiệu quả, ALTAS LAW tin cậy giới thiệu DataTrust Compliance Edition (DataTrust CE), một giải pháp phần mềm hàng đầu được phát triển bởi đối tác VNDS.

DataTrust CE không chỉ là phần mềm mà còn là một giải pháp chiến lược được thiết kế để hợp lý hóa và đơn giản hóa tuân thủ bảo vệ dữ liệu cá nhân, đặc biệt đối với các Hồ sơ đánh giá tác động bảo vệ dữ liệu cá nhân (DPIA) bắt buộc theo luật định. Giải pháp DataTrust CE giúp doanh nghiệp chủ động hoàn thành chính xác tài liệu thiết yếu này, đảm bảo phù hợp quy định pháp luật hiện hành và giảm thiểu đáng kể rủi ro pháp lý.

Sự hợp tác giữa ALTAS LAW với đối tác công nghệ VNDS cho phép chúng tôi cung cấp cho khách hàng không chỉ hướng dẫn pháp lý cần thiết mà còn công cụ kỹ thuật hiệu quả để đảm bảo việc tuân thủ một cách toàn diện. Chúng tôi khuyến khích các doanh nghiệp chủ động thực hiện các nghĩa vụ bảo vệ dữ liệu. Liên hệ với ALTAS LAW ngay để thảo luận về việc triển khai giải pháp qua email: contact@altas.vn

IV - QUY ĐỊNH BẢO VỆ DỮ LIỆU CÁ NHÂN TRONG TRÍ TUỆ NHÂN TẠO

Luật BVDLCN dành một phần quan trọng để điều chỉnh các hoạt động xử lý dữ liệu cá nhân trong bối cảnh công nghệ mới như trí tuệ nhân tạo (AI), chuỗi khối (blockchain), vũ trụ ảo (metaverse) và điện toán đám mây (cloud computing) – những lĩnh vực vốn tiềm ẩn nhiều rủi ro về quyền riêng tư và an toàn thông tin.

Luật BVDLCN khẳng định tổ chức, cá nhân có quyền sử dụng dữ liệu cá nhân để phát triển các hệ thống tự động, AI và thuật toán tự học, nhưng phải tuân thủ đầy đủ các quy định của Luật. Đặc biệt, bên kiểm soát và xử lý dữ liệu có trách nhiệm thông báo cho chủ thể dữ liệu về việc xử lý tự động, giải thích rõ các tác động có thể xảy ra từ việc sử dụng AI, và cung cấp quyền từ chối tham gia các hệ thống đó.

Ngoài ra, các tổ chức cũng được yêu cầu xây dựng hệ thống tiêu chuẩn an ninh mạng, phương án dự phòng khi AI gặp sự cố, triển khai hệ thống giám sát sớm và thiết lập cơ chế kiểm soát việc lạm dụng AI vào mục đích xâm phạm an ninh quốc gia hoặc quyền cá nhân. Một loạt yêu cầu khác nhằm đảm bảo minh bạch và trách nhiệm giải trình cũng được nêu rõ, bao gồm quy trình vận hành có căn cứ khoa học, cơ chế giám sát đa chiều, quyền tiếp cận thông tin, xử lý phản ánh và đánh giá tác động AI đối với công dân.

Song song đó, Luật BVDLCN đặt ra các quy định về bảo vệ dữ liệu cá nhân trong hoạt động điện toán đám mây – nền tảng kỹ thuật phổ biến trong lưu trữ và xử lý dữ liệu hiện đại. Theo đó, tổ chức và cá nhân sử dụng dịch vụ cloud phải áp dụng các biện pháp kỹ thuật–tổ chức để ngăn chặn truy cập trái phép, đồng thời có trách nhiệm quy định cụ thể trong hợp đồng với nhà cung cấp dịch vụ điện toán đám mây về việc tuân thủ pháp luật Việt Nam, bảo vệ dữ liệu nhạy cảm, bảo mật dữ liệu, bồi thường thiệt hại và cung cấp báo cáo kiểm toán. Bên cung cấp dịch vụ cloud cũng phải cam kết chấp hành quy định bảo vệ dữ liệu của Việt Nam, kiểm soát hoạt động của các nhà thầu phụ, và áp dụng các biện pháp phù hợp với quy mô xử lý dữ liệu của mình.

Nhìn chung, hai điều khoản này cho thấy định hướng của Nhà nước trong việc cập nhật kịp thời khuôn khổ pháp lý đối với những công nghệ mới, đồng thời đặt ra các tiêu chuẩn trách nhiệm và kỹ thuật rõ ràng cho các bên tham gia vào hoạt động xử lý dữ liệu cá nhân trong bối cảnh số hóa sâu rộng.

V - QUY ĐỊNH BẢO VỆ DỮ LIỆU CÁ NHÂN TRONG GIÁM SÁT VÀ TUYỂN DỤNG LAO ĐỘNG

Luật BVDLCN quy định rõ trách nhiệm của tổ chức, cá nhân trong việc thu thập, xử lý và giám sát dữ liệu cá nhân của người lao động ngay từ khâu tuyển dụng.

Khi tuyển dụng, doanh nghiệp chỉ được yêu cầu các thông tin đã được công khai trong danh mục tuyển dụng hoặc hồ sơ lao động, phải xử lý mọi dữ liệu đúng pháp luật và chỉ sau khi được người lao động đồng ý. Hồ sơ phải được lưu giữ trong khung thời gian quy định và xóa bỏ ngay khi không còn nhu cầu, trừ trường hợp pháp luật có quy định khác.

Trong trường hợp doanh nghiệp nước ngoài tuyển dụng lao động Việt Nam trên lãnh thổ Việt Nam, ngoài việc tuân thủ pháp luật Việt Nam về bảo vệ dữ liệu cá nhân, họ còn phải ký kết hợp đồng với pháp nhân tại Việt Nam và cung cấp bản sao dữ liệu theo yêu cầu cơ quan có thẩm quyền. Mọi biện pháp công nghệ, kỹ thuật áp dụng để giám sát người lao động phải minh bạch, được người lao động biết và đồng ý, phải được mô tả trong hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và cam kết không sử dụng các giải pháp vượt quá giới hạn cho phép của pháp luật.

VI - QUY ĐỊNH VỀ BẢO VỆ DỮ LIỆU CÁ NHÂN TRONG HOẠT ĐỘNG TÀI CHÍNH, NGÂN HÀNG, TÍN DỤNG, THÔNG TIN TÍN DỤNG

Luật BVDLCN tuyệt đối cấm mọi hành vi mua bán hoặc chuyển giao thông tin tín dụng trái phép giữa các tổ chức ngân hàng, tài chính, tổ chức tín dụng và đơn vị cung cấp thông tin tín dụng.

Đồng thời, các tổ chức này phải tuân thủ đầy đủ các quy định bảo vệ dữ liệu cá nhân nhạy cảm và áp dụng các tiêu chuẩn an toàn, bảo mật theo quy định pháp luật hiện hành. Việc sử dụng thông tin tín dụng của khách hàng để chấm điểm hoặc đánh giá mức độ tín nhiệm phải có được sự đồng ý trước của chủ thể dữ liệu; mọi kết quả đánh giá chỉ được công bố ở dạng đơn giản như “Đạt/Không đạt”, “Có/Không” hoặc thang điểm trực tiếp trên cơ sở dữ liệu do chính tổ chức thu thập.

Quy định cũng yêu cầu các tổ chức xác định và công khai rõ các khâu xử lý cần áp dụng biện pháp khử nhận dạng dữ liệu cá nhân, đồng thời chủ động thông báo cho chủ thể dữ liệu khi xảy ra bất kỳ sự cố nào dẫn đến mất mát hoặc rò rỉ thông tin tài khoản ngân hàng, tài chính, tín dụng.

VII - QUY ĐỊNH VỀ BẢO VỆ DỮ LIỆU CÁ NHÂN TRONG HOẠT ĐỘNG TRÊN MẠNG XÃ HỘI

Luật BVDLCN đặt ra khuôn khổ pháp lý rõ ràng và toàn diện đối với hoạt động thu thập, xử lý và bảo vệ dữ liệu cá nhân trên các nền tảng mạng xã hội và dịch vụ truyền thông trực tuyến. Theo đó, mạng xã hội được định nghĩa bao gồm các nền tảng cho phép người dùng tạo hồ sơ, nhắn tin, gọi điện, chia sẻ nội dung và tổ chức hoạt động trực tuyến như họp, học tập hoặc giải trí; trong khi đó, dịch vụ truyền thông trực tuyến bao gồm nền tảng xem phim, nghe nhạc, phát trực tiếp và truyền hình qua Internet.

Các tổ chức, cá nhân cung cấp những dịch vụ này có trách nhiệm áp dụng một loạt biện pháp nhằm bảo vệ dữ liệu cá nhân của công dân Việt Nam khi hoạt động tại thị trường trong nước. Cụ thể, họ phải: thông báo rõ ràng nội dung dữ liệu cá nhân sẽ thu thập; không được thu thập dữ liệu vượt quá phạm vi thỏa thuận; không yêu cầu hình ảnh, video chứa căn cước công dân hoặc giấy tờ tuỳ thân để xác thực tài khoản; và cung cấp tùy chọn từ chối cookies hoặc tính năng theo dõi hành vi người dùng. Ngoài ra, việc chia sẻ dữ liệu cá nhân để phục vụ quảng cáo hoặc tiếp thị phải được thông báo bằng văn bản và đi kèm với các biện pháp bảo mật phù hợp.

Đặc biệt, các nền tảng không được phép nghe lén, ghi âm, đọc tin nhắn của người dùng nếu không có sự đồng ý của chủ thể dữ liệu. Đồng thời, họ có nghĩa vụ công khai chính sách bảo mật, cho phép người dùng truy cập, chỉnh sửa, xóa dữ liệu và thiết lập chế độ riêng tư cho thông tin cá nhân của mình. Trong trường hợp dữ liệu cá nhân được chuyển ra ngoài lãnh thổ Việt Nam, tổ chức cung cấp dịch vụ vẫn phải đảm bảo nghĩa vụ bảo vệ dữ liệu tương đương với quy định của pháp luật Việt Nam.

Mọi sự cố hoặc hành vi vi phạm dữ liệu cá nhân liên quan đến tài khoản mạng xã hội hoặc dịch vụ truyền thông trực tuyến đều phải được thông báo cho chủ thể dữ liệu trong vòng 72 giờ, kèm theo kết quả xử lý, biện pháp khắc phục và đánh giá rủi ro. Đáng chú ý, dữ liệu cá nhân được dùng để đăng ký tài khoản không thuộc danh mục dữ liệu được phép xử lý mà không cần sự đồng ý, nhấn mạnh nguyên tắc “đồng thuận” là trọng tâm của quy trình xử lý dữ liệu.

Quy định này phản ánh xu hướng tăng cường kiểm soát dữ liệu cá nhân trên môi trường số, đồng thời đòi hỏi các nhà cung cấp dịch vụ xuyên biên giới phải điều chỉnh cơ chế hoạt động để đáp ứng yêu cầu bảo vệ quyền riêng tư của người dùng Việt Nam.

VIII - QUY ĐỊNH VỀ XẾP HẠNG TÍN NHIỆM

Xếp hạng tín nhiệm bảo vệ dữ liệu cá nhân là hoạt động do tổ chức được Cơ quan chuyên trách bảo vệ dữ liệu cá nhân chứng nhận thực hiện, nhằm đánh giá mức độ uy tín của các tổ chức, cá nhân trong việc tuân thủ quy định về bảo vệ dữ liệu cá nhân.

Kết quả xếp hạng được phân thành ba cấp độ: “Tín nhiệm cao”, “Tín nhiệm” và “Không tín nhiệm”. Chỉ các doanh nghiệp như công ty TNHH, công ty cổ phần, công ty hợp danh, doanh nghiệp tư nhân hoặc các loại hình khác theo quy định pháp luật khi đáp ứng đủ các điều kiện mới được kinh doanh dịch vụ xếp hạng tín nhiệm.

Những điều kiện đó bao gồm:

1. có văn bản chứng minh năng lực bảo vệ dữ liệu cá nhân;

2. vốn pháp định tối thiểu 5 tỷ đồng;

3. có ít nhất một năm kinh nghiệm trong lĩnh vực an ninh mạng hoặc bảo vệ dữ liệu cá nhân;

4. có tối thiểu 03 nhân sự đủ năng lực làm chuyên viên phân tích tín nhiệm và 02 Chuyên gia Bảo vệ Dữ liệu Cá nhân (hoặc 01 Chuyên gia bảo vệ dữ liệu cá nhân đủ năng lực về công nghệ và 01 Chuyên gia bảo vệ dữ liệu cá nhân đủ năng lực về pháp lý);

5. có đề án đề nghị cấp chứng nhận kinh doanh dịch vụ xếp hạng tín nhiệm.

Doanh nghiệp chưa đăng ký dịch vụ này không được sử dụng các danh xưng “xếp hạng tín nhiệm bảo vệ dữ liệu cá nhân” hay tương đương. Thủ trưởng Cơ quan chuyên trách sẽ ra Quyết định cấp chứng nhận cho các doanh nghiệp đủ điều kiện, trong khi Chính phủ quy định chi tiết về trình tự, thủ tục xếp hạng và cấp phép.

IX - QUY ĐỊNH VỀ CHUYÊN GIA BẢO VỆ DỮ LIỆU CÁ NHÂN

Luật BVDLCN quy định mỗi tổ chức, doanh nghiệp, cá nhân phải có tối thiểu 01 Chuyên gia bảo vệ dữ liệu cá nhân phù hợp với ngành, nghề, lĩnh vực kinh doanh.

Các Chuyên gia bảo vệ dữ liệu cá nhân là người có đủ năng lực bảo vệ dữ liệu cá nhân, gồm:

• Chuyên gia bảo vệ dữ liệu cá nhân đủ năng lực công nghệ và pháp lý;

• Chuyên gia bảo vệ dữ liệu cá nhân đủ năng lực về công nghệ;

• Chuyên gia bảo vệ dữ liệu cá nhân đủ năng lực về pháp lý.

Quy định này miễn trừ cho các doanh nghiệp nhỏ, doanh nghiệp khởi nghiệp về việc có Chuyên gia bảo vệ dữ liệu cá nhân trong thời gian 05 năm đầu kể từ khi thành lập doanh nghiệp, nhưng không áp dụng cho các doanh nghiệp siêu nhỏ, doanh nghiệp nhỏ, doanh nghiệp khởi nghiệp trực tiếp kinh doanh hoạt động xử lý dữ liệu cá nhân.

Ngoài ra, các cơ quan, tổ chức, doanh nghiệp nằm trong phạm vi thuộc các doanh nghiệp phải có ít nhất 01 Chuyên gia bảo vệ dữ liệu cá nhân sẽ được miễn trừ trong thời hạn 01 năm kể từ ngày Luật BVDLCN có hiệu lực, sau thời hạn 01 năm này các doanh nghiệp cần phải tuân thủ.

X - SỬA ĐỔI, BỔ SUNG MỘT SỐ ĐIỀU CỦA CÁC LUẬT CÓ LIÊN QUAN

Luật BVDLCN sửa đổi, bổ sung Phụ lục số IV về Danh mục ngành, nghề kinh doanh có điều kiện theo Luật số 61/2020/QH14 như sau:

ALTAS CÓ THỂ HỖ TRỢ NHƯ THẾ NÀO?

ALTAS LAW cung cấp các gói dịch vụ pháp lý và kế toán, thuế toàn diện được thiết kế để hỗ trợ liền mạch trong giai đoạn chuyển đổi này:

• Dịch vụ Kế toán và Thuế: Chúng tôi cung cấp dịch vụ kế toán và thuế để giúp doanh nghiệp của Quý vị quản lý các tác động tài chính của những cải cách này, bao gồm lập kế hoạch thuế, báo cáo và tuân thủ.

• Giấy phép & Tuân thủ Quy định: Chúng tôi sẽ rà soát tỉ mỉ các giấy phép và giấy phép hiện có của Quý vị, tư vấn về các sửa đổi hoặc gia hạn cần thiết, và hướng dẫn Quý vị qua quy trình xin cấp bất kỳ phê duyệt mới nào. Đội ngũ của chúng tôi cũng sẽ đảm bảo Quý vị tuân thủ tất cả các thay đổi quy định liên quan.

Vui lòng liên hệ với chúng tôi qua email contact@altas.vn để thảo luận cụ thể cách chúng tôi giúp Quý vị vượt qua những cải cách này một cách thành công

---- 
Viết bởi: Lương Văn Chương (Chris) - Luật sư Thành viên tại ALTAS Law & Trợ lý pháp lý cao cấp Nguyễn Trần Ngọc Thạch - ALTAS Law 

Ngày: 01/07/2025