SỰ THAY ĐỔI TRONG PHÁP LUẬT LIÊN QUAN ĐẾN BẢO VỆ DỮ LIỆU CÁ NHÂN TẠI VIỆT NAM: PHÂN TÍCH VÀ CẬP NHẬT CÁC THAY ĐỔI MỚI VỀ BẢO VỆ DỮ LIỆU CÁ NHÂN VÀ QUYỀN RIÊNG TƯ NĂM 2026

Trong bối cảnh công nghệ phát triển nhanh chóng và nền kinh tế số ngày càng mở rộng, dữ liệu cá nhân đã trở thành một loại tài sản có giá trị cao, đồng thời kéo theo nhiều rủi ro liên quan đến an ninh thông tin và quyền riêng tư.

Tại Việt Nam, hệ thống pháp luật về bảo vệ dữ liệu cá nhân đã có những bước hoàn thiện đáng kể, nổi bật là việc ban hành Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân – văn bản pháp lý chuyên biệt đầu tiên điều chỉnh một cách toàn diện lĩnh vực này, góp phần đưa Việt Nam tiến gần hơn tới các chuẩn mực quốc tế.

Những thay đổi trong khung pháp lý không chỉ tác động đến quyền và lợi ích của cá nhân mà còn ảnh hưởng sâu sắc đến hoạt động của các tổ chức, doanh nghiệp trong quá trình thu thập, xử lý và quản lý dữ liệu.

1. Tổng quan về bảo vệ dữ liệu cá nhân tại Việt Nam

Trước năm 2023, khung pháp lý về bảo vệ dữ liệu cá nhân (DLCN) tại Việt Nam còn phân mảnh, chủ yếu nằm rải rác trong Luật An ninh mạng 2018, Bộ luật Dân sự 2015 và một số văn bản khác, thiếu quy định thống nhất và toàn diện. Nghị định 13/2023/NĐ-CP (có hiệu lực từ 01/7/2023) là văn bản đầu tiên quy định chi tiết, toàn diện về bảo vệ DLCN, đánh dấu bước tiến quan trọng trong bối cảnh chuyển đổi số quốc gia.

Đến năm 2025, Quốc hội đã thông qua Luật Bảo vệ dữ liệu cá nhân 2025 (số 91/2025/QH15) ngày 26/6/2025, chính thức có hiệu lực thi hành từ 01/01/2026. Luật này nâng cấp từ cấp Nghị định lên cấp Luật, gồm 5 chương và 39 điều, thay thế hoàn toàn Nghị định 13/2023/NĐ-CP. Chính phủ ban hành Nghị định 356/2025/NĐ-CP ngày 31/12/2025 hướng dẫn thi hành Luật (cùng hiệu lực từ 01/01/2026).

Luật mới mở rộng phạm vi áp dụng (bao gồm cả tổ chức, cá nhân nước ngoài có liên quan đến DLCN của công dân Việt Nam), tăng cường chế tài xử phạt, bổ sung khái niệm “khử nhận dạng dữ liệu”, và hướng tới hài hòa với các tiêu chuẩn quốc tế (như GDPR). Đây là bước ngoặt quan trọng, bảo vệ quyền riêng tư công dân đồng thời thúc đẩy kinh tế số an toàn và bền vững.

2. Những điểm thay đổi quan trọng trong quy định pháp luật về dữ liệu cá nhân

2.1. Định nghĩa về dữ liệu cá nhân

Căn cứ theo Điều 2 Luật bảo vệ dữ liệu cá nhân 2025 quy định “Dữ liệu cá nhân là dữ liệu số hoặc thông tin dưới dạng khác xác định hoặc giúp xác định một con người cụ thể, bao gồm: dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm. Dữ liệu cá nhân sau khi khử nhận dạng không còn là dữ liệu cá nhân.”

Nghị định 356/2025/NĐ-CP (Điều 3 & 4) quy định chi tiết danh mục:

• Dữ liệu cá nhân cơ bản(11 nhóm): Họ tên, ngày tháng năm sinh, giới tính, nơi sinh/thường trú/tạm trú, quốc tịch, hình ảnh, số điện thoại/số định danh/số hộ chiếu/giấy phép lái xe/biển số xe, tình trạng hôn nhân, thông tin mối quan hệ gia đình, thông tin tài khoản số, và các thông tin khác gắn liền với một con người cụ thể.
• Dữ liệu cá nhân nhạy cảm(12 nhóm): Nguồn gốc chủng tộc/dân tộc, quan điểm chính trị/tôn giáo, thông tin đời sống riêng tư/bí mật cá nhân/gia đình, tình trạng sức khỏe, dữ liệu sinh trắc học/di truyền, đời sống tình dục/xu hướng tình dục, dữ liệu tội phạm, vị trí định vị, thông tin tài khoản định danh điện tử/ngân hàng, dữ liệu theo dõi hành vi trên mạng xã hội/viễn thông, và các dữ liệu khác cần bảo mật chặt chẽ.

2.2. Nguyên tắc xử lý dữ liệu cá nhân

Căn cứ theo Điều 3 Luật Bảo vệ sữ liệu cá nhân 2025 quy định nguyên tắc bảo vệ dữ liệu cá nhân:

1. Tuân thủ quy định của Hiến pháp, quy định của Luật này và quy định khác của pháp luật có liên quan.
2. Chỉ được thu thập, xử lý dữ liệu cá nhân đúng phạm vi, mục đích cụ thể, rõ ràng, bảo đảm tuân thủ quy định của pháp luật.
3. Bảo đảm tính chính xác của dữ liệu cá nhân và được chỉnh sửa, cập nhật, bổ sung khi cần thiết; được lưu trữ trong khoảng thời gian phù hợp với mục đích xử lý dữ liệu cá nhân, trừ trường hợp pháp luật có quy định khác.
4. Thực hiện đồng bộ có hiệu quả các biện pháp, giải pháp về thể chế, kỹ thuật, con người phù hợp để bảo vệ dữ liệu cá nhân.
5. Chủ động phòng ngừa, phát hiện, ngăn chặn, đấu tranh, xử lý kịp thời, nghiêm minh mọi hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân.
6. Bảo vệ dữ liệu cá nhân gắn với bảo vệ lợi ích quốc gia, dân tộc, phục vụ phát triển kinh tế – xã hội, bảo đảm quốc phòng, an ninh và đối ngoại; bảo đảm hài hòa giữa bảo vệ dữ liệu cá nhân với bảo vệ quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân.

Nghị định 356/2025/NĐ-CP (Điều 6) siết chặt phương thức đồng ý: Phải kiểm chứng được (văn bản, ghi âm, tin nhắn, email, ứng dụng…), cấm mặc định đồng ý hoặc dark pattern. Bên kiểm soát phải lưu trữ chứng minh đồng ý. Với dữ liệu nhạy cảm phải thông báo rõ ràng.

2.3. Quyền của chủ thể dữ liệu

Luật 2025 (Điều 4) giản hóa còn 6 quyền chính: a) Được biết về hoạt động xử lý DLCN. b) Đồng ý hoặc rút lại sự đồng ý. c) Xem, chỉnh sửa hoặc yêu cầu chỉnh sửa. d) Yêu cầu cung cấp, xóa, hạn chế, phản đối xử lý. đ) Khiếu nại, tố cáo, khởi kiện, đòi bồi thường. e) Yêu cầu thực hiện biện pháp bảo vệ.

Nghị định 356/2025/NĐ-CP quy định thời hạn thực hiện: Phản hồi yêu cầu trong 02 ngày làm việc; thực hiện quyền trong 10 ngày (gia hạn tối đa 10 ngày nếu phức tạp) hoặc 20 ngày với một số quyền đặc biệt. Doanh nghiệp phải xóa DLCN của người lao động khi chấm dứt hợp đồng lao động (trừ trường hợp pháp luật hoặc thỏa thuận khác) và xóa dữ liệu ứng viên không trúng tuyển. Mạng xã hội không được yêu cầu cung cấp hình ảnh/video giấy tờ tùy thân để xác thực.

2.3. Trách nhiệm của tổ chức, doanh nghiệp

Luật Bảo vệ dữ liệu cá nhân 2025 và Nghị định 356/2025/NĐ-CP phân vai trò rõ ràng và quy định trách nhiệm cụ thể, chặt chẽ hơn so với Nghị định 13/2023/NĐ-CP. Tổ chức, doanh nghiệp có thể đóng một trong ba vai trò sau:

• Bên kiểm soát dữ liệu cá nhân: Quyết định mục đích và phương tiện xử lý DLCN (thường là doanh nghiệp thu thập dữ liệu trực tiếp từ khách hàng, người lao động).
• Bên xử lý dữ liệu cá nhân: Chỉ thực hiện xử lý theo hợp đồng/thỏa thuận với bên kiểm soát (ví dụ: nhà cung cấp dịch vụ đám mây, bên thứ ba).
• Bên kiểm soát và xử lý dữ liệu cá nhân: Thực hiện đồng thời cả hai vai trò (phổ biến ở doanh nghiệp vừa và lớn).

Trách nhiệm chung của tất cả các bên (Điều 37 Luật 2025):

• Thực hiện đầy đủ biện pháp tổ chức, kỹ thuật và bảo mật phù hợp để bảo vệ DLCN (ngăn chặn mất mát, lộ lọt, truy cập trái phép).
• Thông báo kịp thời cho chủ thể dữ liệu và cơ quan nhà nước (Cục An ninh mạng và phòng, chống tội phạm công nghệ cao – A05, Bộ Công an) khi xảy ra vi phạm.
• Chịu trách nhiệm bồi thường thiệt hại nếu gây ra.
• Phối hợp với cơ quan nhà nước trong kiểm tra, thanh tra.
• Cấm tuyệt đối mua, bán DLCN (trừ trường hợp pháp luật cho phép).

Trách nhiệm bổ sung bắt buộc (Nghị định 356/2025/NĐ-CP):

• Bổ nhiệm Nhân sự bảo vệ dữ liệu (DPO) hoặc bộ phận bảo vệ dữ liệu:
  • Áp dụng bắt buộc cho doanh nghiệp kinh doanh dịch vụ xử lý DLCN, xử lý DLCN nhạy cảm, xử lý số lượng lớn DLCN.
  • Doanh nghiệp khác được quyền lựa chọn (không bắt buộc trừ khi thuộc trường hợp trên).
  • DPO phải đáp ứng điều kiện năng lực (kiến thức pháp luật, kỹ năng bảo mật, kinh nghiệm); doanh nghiệp phải ký thỏa thuận trách nhiệm bảo mật với DPO và tổ chức đào tạo định kỳ.
• Lập và cập nhật định kỳ Hồ sơ đánh giá tác động xử lý DLCN (DPIA):
  • Phải lập ngay từ khi bắt đầu xử lý (sử dụng Mẫu số 10 Phụ lục Nghị định 356).
  • Nội dung chi tiết: thông tin các bên, mục đích xử lý, loại dữ liệu, sơ đồ luồng dữ liệu, rủi ro, biện pháp giảm thiểu.
  • Gửi A05 trong 60 ngày kể từ lần xử lý đầu tiên; cập nhật mỗi 6 tháng hoặc khi có thay đổi lớn (tái cấu trúc, thay đổi công nghệ).
  • Doanh nghiệp nhỏ, siêu nhỏ, startup được ân hạn một số nghĩa vụ trong 05 năm đầu (Điều 41 Nghị định 356).
• Trong lĩnh vực lao động và tuyển dụng (Điều 25 Luật 2025):
  • Chỉ thu thập thông tin DLCN cần thiết, phù hợp với mục đích tuyển dụng/quản lý lao động.
  • Phải xóa, hủy DLCN của người lao động khi chấm dứt hợp đồng lao động (trừ trường hợp pháp luật hoặc thỏa thuận khác quy định).
  • Xóa dữ liệu của ứng viên không trúng tuyển (trừ khi có thỏa thuận).
  • Lưu trữ DLCN lao động trong thời hạn theo pháp luật lao động hoặc thỏa thuận.
• Thông báo vi phạm: Phải thông báo ngay cho chủ thể dữ liệu (đặc biệt với dữ liệu nhạy cảm như vị trí, sinh trắc học) và cơ quan nhà nước.

Chế tài xử phạt (Điều 8 Luật 2025):

• Phạt hành chính lên đến 5% doanh thu năm trước liền kề đối với vi phạm chuyển dữ liệu xuyên biên giới.
• Phạt lên đến 10 lần khoản thu từ vi phạm đối với mua bán DLCN.
• Tối đa 3 tỷ đồng cho các vi phạm khác.
• Có thể bị đình chỉ hoạt động, buộc xóa dữ liệu, bồi thường thiệt hại.

So sánh với Nghị định 13/2023/NĐ-CP: Trách nhiệm rõ ràng hơn theo vai trò, DPIA và DPO được quy định chi tiết với mẫu biểu chuẩn, chế tài cao hơn và áp dụng cụ thể cho lao động.

2.4. Quy định về chuyển dữ liệu ra nước ngoài

Luật 2025 (Điều 20) & Nghị định 356/2025/NĐ-CP (Điều 17):

• Phạm vi mở rộng: Chuyển dữ liệu lưu trữ tại Việt Nam sang hệ thống nước ngoài, cung cấp cho bên nước ngoài, hoặc sử dụng nền tảng nước ngoài để xử lý.
• Phải lập hồ sơ đánh giá tác động chuyển dữ liệu xuyên biên giới(Mẫu số 09), gửi A05 trong 60 ngày kể từ lần chuyển đầu tiên.
• Một số trường hợp miễn (lưu trữ đám mây lao động, chủ thể tự chuyển, cơ quan nhà nước…).
• Dữ liệu nhạy cảm phải mã hóa, ẩn danh. Cơ quan nhà nước có quyền yêu cầu ngừng chuyển nếu ảnh hưởng an ninh quốc gia.

3. Tác động đối với doanh nghiệp tại Việt Nam

Luật Bảo vệ dữ liệu cá nhân 2025 và Nghị định 356/2025/NĐ-CP mang lại tác động kép rõ rệt:

• Tích cực: Khung pháp lý thống nhất, minh bạch, tăng niềm tin khách hàng, thúc đẩy kinh tế số (khử nhận dạng cho phép khai thác dữ liệu lớn/AI an toàn). Doanh nghiệp tuân thủ tốt sẽ dễ hợp tác quốc tế.
• Thách thức & yêu cầu triển khai hoàn thiện:

• Kiểm toán DLCN nội bộ ngay trước 01/01/2026: Phân loại dữ liệu cơ bản/nhạy cảm, rà soát luồng dữ liệu.
• Cập nhật chính sách nội bộ: Mẫu đồng ý (kiểm chứng được), quy trình DPIA, DPO, quy trình xóa dữ liệu (đặc biệt HR & tuyển dụng).
• Bổ nhiệm DPO và đào tạo nhân sự.
• Chuẩn bị hồ sơ chuyển dữ liệu xuyên biên giới(cloud, đối tác nước ngoài) theo đúng 10 mẫu biểu Phụ lục Nghị định 356.
• Doanh nghiệp nhỏ, siêu nhỏ, startup được ân hạn một số nghĩa vụ trong 05 năm (Điều 41 Nghị định 356).

Trên cơ sở các quy định pháp luật hiện hành, bài viết này được tổng hợp nhằm cung cấp cái nhìn toàn diện về những thay đổi quan trọng trong lĩnh vực bảo vệ dữ liệu cá nhân tại Việt Nam, qua đó giúp cá nhân và doanh nghiệp nâng cao nhận thức, chủ động tuân thủ và hạn chế các rủi ro pháp lý trong quá trình xử lý dữ liệu.

Trong trường hợp còn vướng mắc hoặc cần được tư vấn cụ thể về các vấn đề liên quan đến bảo vệ dữ liệu cá nhân, quyền riêng tư, tuân thủ Nghị định 13/2023/NĐ-CP hoặc các vấn đề pháp lý liên quan,

Quý khách vui lòng liên hệ Văn phòng Luật sư Đà Nẵng qua số điện thoại 0912 987 103 hoặc đặt lịch làm việc trực tiếp tại 24 Phan Bội Châu, phường Hải Châu, thành phố Đà Nẵng để được luật sư hỗ trợ, tư vấn kịp thời.

Ngoài ra, Văn phòng Luật sư Đà Nẵng có thể hỗ trợ khách hàng các nội dung sau:

• Tư vấn pháp lý về bảo vệ dữ liệu cá nhân và quyền riêng tư;
• Hỗ trợ giải quyết tranh chấp, khiếu nại liên quan đến dữ liệu cá nhân;
• Tư vấn tuân thủ Nghị định 13/2023/NĐ-CP và các quy định liên quan.

……….

Xem thêm: TRỐN TRÁNH CẤP DƯỠNG NUÔI CON SAU LY HÔN NĂM 2026: BỊ PHẠT TỪ 5-10 TRIỆU THEO NGHỊ ĐỊNH 282/2025/NĐ-CP

Xem thêm: THÀNH LẬP DOANH NGHIỆP ESG NĂM 2026: CÁC BƯỚC XÂY DỰNG DOANH NGHIỆP XANH NGAY TỪ ĐẦU ĐỂ THU HÚT VỐN ƯU ĐÃI.