Trong bối cảnh cuộc Cách mạng Công nghiệp 4.0 đang định hình lại toàn diện phương thức tương tác xã hội và vận hành kinh tế, dữ liệu cá nhân không còn đơn thuần là những thông tin định danh tĩnh, mà đã trở thành một loại "tài sản số" có giá trị chiến lược và tính nhạy cảm đặc biệt. Sự bùng nổ của các nền tảng xuyên biên giới, công nghệ trí tuệ nhân tạo và dữ liệu lớn một mặt thúc đẩy sự tiện nghi, mặt khác lại đặt ra những thách thức chưa từng có đối với quyền riêng tư và an ninh quốc gia.
Nhận thức rõ tầm quan trọng của việc xác lập một hành lang pháp lý vững chắc, hệ thống pháp luật Việt Nam, với trọng tâm là Nghị định về bảo vệ dữ liệu cá nhân, đã đưa ra những định nghĩa pháp lý tường minh và phân loại chi tiết các cấp độ dữ liệu. Việc hiểu rõ "Dữ liệu cá nhân là gì?" và nhận diện các "Loại dữ liệu cá nhân" không chỉ là yêu cầu bắt buộc đối với các tổ chức trong việc tuân thủ pháp luật, mà còn là quyền lợi tự thân của mỗi cá nhân trong việc bảo vệ quyền con người trên không gian mạng.
1. Khái niệm dữ liệu cá nhân
Khoản 1 Điều 2 Luật Bảo vệ dữ liệu cá nhân 2025 (Luật 2025) định nghĩa dữ liệu cá nhân là dữ liệu số hoặc thông tin dưới dạng khác xác định hoặc giúp xác định một con người cụ thể. Định nghĩa này không chỉ kế thừa các quan điểm trước đây mà còn mở rộng phạm vi điều chỉnh để bao quát mọi hình thái của thông tin trong kỷ nguyên số, đồng thời xác lập ranh giới giữa dữ liệu cá nhân và dữ liệu phi cá nhân thông qua cơ chế khử nhận dạng.
Dữ liệu số được hiểu là các thông tin được lưu trữ và xử lý dưới dạng các tín hiệu điện tử, hệ nhị phân hoặc các định dạng kỹ thuật số khác trên môi trường mạng, máy tính và các thiết bị lưu trữ thông minh. Trong bối cảnh hiện đại, dữ liệu số chiếm tỷ trọng tuyệt đối trong các hoạt động xử lý, từ địa chỉ IP, cookie định danh cho đến các luồng dữ liệu truyền tải qua giao thức Internet.
Tuy nhiên, nhà làm luật đã thể hiện sự thận trọng khi bổ sung cụm từ "thông tin dưới dạng khác". Điều này đảm bảo rằng các thông tin truyền thống như hồ sơ giấy, ảnh in, bản ghi âm vật lý hoặc bất kỳ hình thức biểu đạt nào khác vẫn nằm trong phạm vi bảo vệ của pháp luật nếu chúng chứa đựng các yếu tố định danh. Sự phân tách này ngăn chặn các lỗ hổng pháp lý khi dữ liệu được chuyển đổi giữa các trạng thái vật lý và kỹ thuật số, đồng thời buộc các tổ chức phải rà soát toàn bộ các kho lưu trữ hồ sơ nhân sự hoặc khách hàng cũ vẫn đang tồn tại dưới dạng bản cứng.
Yếu tố trọng tâm của khái niệm dữ liệu cá nhân nằm ở khả năng "xác định" hoặc "giúp xác định" một cá nhân cụ thể. Một thông tin "xác định" cá nhân là những dữ liệu có tính độc bản và trực tiếp, chẳng hạn như số định danh cá nhân, dấu vân tay hoặc họ tên kết hợp với ngày sinh cụ thể.
Khái niệm "giúp xác định" mang tính chất phức tạp hơn, liên quan đến khả năng liên kết và suy luận dữ liệu. Một thông tin đơn lẻ có thể không tiết lộ danh tính, nhưng khi được đặt trong một tập hợp dữ liệu hoặc đối chiếu với các nguồn thông tin khác, nó cho phép bên xử lý dữ liệu "tách biệt" một cá nhân ra khỏi đám đông. Ví dụ, sự kết hợp giữa mã bưu điện, giới tính và nghề nghiệp có thể giúp xác định chính xác một cá nhân trong một cộng đồng nhỏ mà không cần biết tên của họ. Điều này đặt ra yêu cầu khắt khe đối với việc xử lý siêu dữ liệu và dữ liệu hành vi trên không gian mạng, nơi mà tính danh tính thường ẩn giấu sau các mã ID giả danh.
| Loại hình dữ liệu | Đặc điểm nhận dạng | Ví dụ điển hình |
| Dữ liệu số trực tiếp | Tồn tại dưới dạng mã hóa điện tử, định danh trực tiếp | Họ tên trên hệ thống, số định danh cá nhân số, ảnh khuôn mặt số |
| Thông tin dạng khác | Bản ghi vật lý, âm thanh, hình ảnh không nằm trên bộ nhớ số | Hồ sơ nhân sự giấy, bản sao CCCD giấy, ghi âm trực tiếp |
| Dữ liệu giúp xác định | Metadata, thông tin gián tiếp cần liên kết | Địa chỉ IP, dữ liệu vị trí, lịch sử mua sắm, đặc điểm nhân dạng |
| Dữ liệu sau khử nhận dạng | Không còn khả năng tái nhận dạng người cụ thể | Số liệu thống kê tổng hợp, dữ liệu nghiên cứu đã xóa sạch ID |
2. Dữ liệu cá nhân có những loại nào?
2.1. Dữ liệu cá nhân cơ bản
Luật Bảo vệ dữ liệu cá nhân 2025 phân chia dữ liệu cá nhân thành hai nhóm chính: dữ liệu cơ bản và dữ liệu nhạy cảm. Việc phân loại này không chỉ mang ý nghĩa lý luận mà còn là căn cứ để áp dụng các biện pháp bảo vệ tương xứng. Dữ liệu cá nhân cơ bản là những thông tin phản ánh các yếu tố nhân thân, lai lịch phổ biến, thường xuyên được sử dụng trong các giao dịch và quan hệ xã hội.
Dữ liệu cơ bản bao gồm các thông tin nòng cốt để xác lập tư cách pháp lý của một cá nhân trong đời sống dân sự. Danh mục này bao gồm họ tên, ngày tháng năm sinh, giới tính, quốc tịch và các thông tin về nơi cư trú (thường trú, tạm trú, nơi ở hiện tại). Các loại số do cơ quan nhà nước cấp như số điện thoại, số hộ chiếu, số giấy phép lái xe, số biển số xe cũng được xếp vào nhóm này.
Một điểm đổi mới quan trọng trong Nghị định 356/2025/NĐ-CP là việc bổ sung thông tin về "mối quan hệ vợ, chồng" vào danh mục dữ liệu cá nhân cơ bản. Trước đây, quy định chỉ tập trung vào mối quan hệ cha, mẹ, con cái. Sự thay đổi này phản ánh thực tế quản lý trong các giao dịch dân sự, ngân hàng và bảo hiểm, nơi thông tin về vợ/chồng là yếu tố quan trọng để xác định quyền sở hữu tài sản và các nghĩa vụ liên đới.
Nghị định 356/2025/NĐ-CP đã thực hiện một cuộc tái cấu trúc đáng kể đối với danh mục dữ liệu cơ bản để tối ưu hóa hiệu quả bảo vệ. Một số thông tin trước đây thuộc nhóm cơ bản đã bị loại bỏ hoặc chuyển đổi cấp độ. Cụ thể, các thông tin như mã số thuế cá nhân, số bảo hiểm xã hội và số thẻ bảo hiểm y tế không còn nằm trong danh mục dữ liệu cá nhân cơ bản. Việc loại bỏ này cho thấy ý đồ của nhà làm luật trong việc chuyên biệt hóa các loại dữ liệu này dưới sự điều chỉnh của các luật chuyên ngành khác hoặc nâng cấp chúng thành một phần của dữ liệu cốt lõi quốc gia.
Đồng thời, thông tin về tài khoản số và các thông tin khác gắn liền với một con người cụ thể mà không thuộc nhóm nhạy cảm vẫn được duy trì trong nhóm cơ bản. Hình ảnh cá nhân dưới mọi hình thức cũng được khẳng định là dữ liệu cơ bản, ngoại trừ trường hợp hình ảnh đó được sử dụng cho mục đích nhận diện sinh trắc học.
| Nhóm thông tin | Các loại dữ liệu chi tiết |
| Nhân thân & Lai lịch | Họ tên, tên gọi khác, ngày sinh, ngày mất, giới tính, quốc tịch |
| Cư trú & Liên lạc | Nơi sinh, nơi đăng ký khai sinh, thường trú, tạm trú, địa chỉ liên hệ, số điện thoại |
| Quan hệ gia đình | Cha, mẹ, con cái, vợ, chồng |
| Số định danh chuyên ngành | Số định danh cá nhân, số hộ chiếu, số GPLX, số biển số xe |
| Dữ liệu hình ảnh & Tài khoản | Hình ảnh cá nhân (không cho mục đích sinh trắc), thông tin tài khoản số |
| Tình trạng dân sự | Tình trạng hôn nhân, các thông tin khác gắn liền với nhân thân phổ biến |
2.2. Dữ liệu cá nhân nhạy cảm
Dữ liệu cá nhân nhạy cảm là loại dữ liệu gắn liền với quyền riêng tư của cá nhân, mà khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp đến quyền và lợi ích hợp pháp của cá nhân, tổ chức. Do tính chất nguy hiểm nếu bị tiết lộ, nhóm dữ liệu này đòi hỏi một cơ chế bảo vệ nghiêm ngặt hơn, từ yêu cầu về sự đồng ý cho đến các biện pháp bảo mật kỹ thuật.
Một trong những thay đổi gây tác động lớn nhất đến ngành công nghệ và quảng cáo là việc chuyển "dữ liệu cá nhân phản ánh hoạt động, lịch sử hoạt động trên không gian mạng" vào danh mục dữ liệu nhạy cảm. Trước đây, theo Nghị định 13/2023/NĐ-CP, loại dữ liệu này chỉ được xếp vào nhóm cơ bản. Việc nâng cấp này thừa nhận rằng lịch sử duyệt web, thói quen tương tác trên mạng xã hội và các hoạt động truyền thông trực tuyến có thể tiết lộ sâu sắc về tâm lý, sở thích và bí mật cá nhân của người dùng.
Trong lĩnh vực tài chính, danh mục nhạy cảm cũng được làm rõ và chi tiết hóa hơn bao gồm: tên đăng nhập, mật khẩu truy cập tài khoản ngân hàng; thông tin thẻ; dữ liệu lịch sử giao dịch; thông tin về tài sản gửi và các hoạt động giao dịch tài chính khác. Ngoài ra, dữ liệu về vị trí cá nhân được xác định qua dịch vụ định vị cũng là một thành phần không thể thiếu của nhóm dữ liệu này.
| Tiêu chí | Tính chất đặc biệt | Hệ quả pháp lý |
| Mức độ tác động | Gây tổn thương sâu sắc về tinh thần, danh dự, tài sản | Chịu mức xử phạt cao nhất nếu để xảy ra sai sót |
| Tính riêng tư | Thuộc về bí mật đời tư không muốn công khai | Phải được mã hóa khi lưu trữ và truyền đưa |
| Quy trình xử lý | Đòi hỏi sự đồng ý cụ thể cho từng mục đích | Phải có bộ phận chuyên trách bảo vệ dữ liệu (DPO/DPD) |
| Khả năng suy luận | Có thể tiết lộ các thông tin nhạy cảm khác gián tiếp | Phải thực hiện đánh giá tác động (PIA) bắt buộc |
| Quản trị rủi ro | Dễ trở thành mục tiêu của các cuộc tấn công mạng | Bắt buộc xác thực đa yếu tố (MFA) khi truy cập |
3. Cơ chế khử nhận dạng dữ liệu
Khử nhận dạng dữ liệu cá nhân là quá trình thay đổi hoặc xóa thông tin để tạo ra dữ liệu mới không thể xác định hoặc không thể giúp xác định được một con người cụ thể. Đây là một cơ chế pháp lý quan trọng cho phép các doanh nghiệp tận dụng dữ liệu cho mục đích nghiên cứu, thống kê và phát triển trí tuệ nhân tạo (AI) mà không phải gánh chịu các nghĩa vụ khắt khe của Luật Bảo vệ dữ liệu cá nhân.
Theo Điều 2 Luật 2025, dữ liệu cá nhân sau khi khử nhận dạng không còn là dữ liệu cá nhân. Điều này đồng nghĩa với việc các quy định về quyền của chủ thể dữ liệu, nghĩa vụ báo cáo hay các hạn chế về chuyển giao xuyên biên giới sẽ không áp dụng đối với loại dữ liệu này. Tuy nhiên, điều kiện để được công nhận là "đã khử nhận dạng" là cực kỳ khắt khe.
Doanh nghiệp phải chứng minh được rằng quá trình này là không thể đảo ngược hoặc xác suất tái nhận dạng là cực thấp dựa trên trình độ công nghệ hiện tại. Nếu một tập dữ liệu vẫn còn nguy cơ bị đối chiếu để tìm ra danh tính, nó vẫn bị coi là dữ liệu cá nhân. Đặc biệt, pháp luật nghiêm cấm hành vi tái nhận dạng dữ liệu sau khi đã được khử nhận dạng, trừ trường hợp được pháp luật cho phép.
Trong thực tế quản trị, doanh nghiệp có thể áp dụng nhiều kỹ thuật khác nhau để đạt được trạng thái khử nhận dạng, tùy thuộc vào nhu cầu phân tích:
- Tổng hợp hóa: Gom nhóm dữ liệu của nhiều cá nhân thành dạng thống kê tổng quát (ví dụ: thay vì lưu doanh thu từng khách hàng, chỉ lưu tổng doanh thu theo khu vực địa lý).
- Làm mờ hoặc Khái quát hóa: Giảm độ chính xác của thông tin định danh (ví dụ: thay ngày sinh cụ thể bằng một khoảng tuổi, thay địa chỉ cụ thể bằng tên thành phố).
- Thêm nhiễu: Làm sai lệch một cách có kiểm soát các giá trị dữ liệu để khó truy ngược danh tính nhưng vẫn giữ được giá trị thống kê của tập hợp lớn.
- Kỹ thuật k-Anonymity, l-Diversity: Các phương pháp đảm bảo rằng mỗi cá nhân trong tập dữ liệu không thể bị phân biệt với ít nhất một số lượng cá nhân khác.
| Đặc điểm | Mã hóa dữ liệu | Khử nhận dạng |
| Bản chất pháp lý | Vẫn là dữ liệu cá nhân | Không còn là dữ liệu cá nhân |
| Khả năng phục hồi | Có thể giải mã để lấy lại thông tin gốc | Lý tưởng là không thể đảo ngược |
| Mục đích sử dụng | Bảo mật dữ liệu trong lưu trữ và truyền đưa | Phân tích, thống kê, nghiên cứu, AI |
| Quy định điều chỉnh | Tuân thủ toàn bộ Luật BV DLCN 2025 | Thoát khỏi phạm vi điều chỉnh của Luật |
| Trách nhiệm | Phải quản lý khóa giải mã an toàn | Phải chứng minh tính hiệu quả của kỹ thuật |
4. Tầm quan trọng của phân loại dữ liệu và nghĩa vụ đối với doanh nghiệp
Việc phân loại đúng dữ liệu cá nhân không chỉ là một yêu cầu kỹ thuật mà là hòn đá tảng trong chiến lược tuân thủ của doanh nghiệp. Một sự nhầm lẫn giữa dữ liệu cơ bản và nhạy cảm có thể dẫn đến việc thiếu hụt các biện pháp bảo mật cần thiết, kéo theo các rủi ro pháp lý và tài chính khổng lồ.
Hệ thống pháp luật mới yêu cầu doanh nghiệp phải áp dụng các biện pháp bảo vệ phù hợp với loại dữ liệu đang xử lý. Đối với dữ liệu cá nhân cơ bản, các biện pháp bảo vệ tiêu chuẩn như kiểm soát truy cập, tường lửa và chính sách nội bộ có thể được xem là đủ. Tuy nhiên, đối với dữ liệu cá nhân nhạy cảm, doanh nghiệp bắt buộc phải áp dụng các tiêu chuẩn bảo mật nâng cao.
Các yêu cầu đặc biệt đối với dữ liệu nhạy cảm bao gồm việc phải chỉ định nhân sự bảo vệ dữ liệu (DPO) hoặc bộ phận bảo vệ dữ liệu (DPD), thực hiện đánh giá tác động xử lý dữ liệu cá nhân (DPIA) và áp dụng các biện pháp kỹ thuật như xác thực đa yếu tố (MFA). Ngoài ra, trước khi xử lý dữ liệu nhạy cảm, doanh nghiệp phải thông báo rõ ràng cho chủ thể dữ liệu về tính chất nhạy cảm của thông tin để họ có quyết định đồng ý một cách minh bạch.
Luật Bảo vệ dữ liệu cá nhân 2025 thiết lập một khung chế tài nghiêm khắc để răn đe các hành vi xâm phạm quyền riêng tư. Doanh nghiệp không chỉ đối mặt với các khoản phạt tiền lớn mà còn cả các hình phạt bổ sung và trách nhiệm bồi thường thiệt hại.
- Xử phạt hành chính: Mức phạt cao nhất có thể lên tới 5% doanh thu của năm trước liền kề đối với các hành vi vi phạm nghiêm trọng như chuyển dữ liệu xuyên biên giới trái phép. Các hành vi mua bán dữ liệu cá nhân có thể bị phạt gấp 10 lần khoản thu lời bất chính.
- Hình phạt bổ sung: Tạm đình chỉ hoạt động xử lý dữ liệu cá nhân, tước quyền sử dụng giấy phép kinh doanh trong lĩnh vực liên quan.
- Trách nhiệm dân sự: Doanh nghiệp phải bồi thường toàn bộ thiệt hại vật chất và tinh thần cho chủ thể dữ liệu nếu để xảy ra lộ lọt thông tin gây tổn thất.
- Trách nhiệm hình sự: Các cá nhân lãnh đạo hoặc người trực tiếp thực hiện hành vi vi phạm có thể bị truy cứu trách nhiệm hình sự nếu vụ việc có tính chất nghiêm trọng theo quy định của Bộ luật Hình sự.
| Nghĩa vụ | Nội dung thực hiện | Thời hạn / Yêu cầu |
| Thu thập sự đồng ý | Phải rõ ràng, tự nguyện, không được im lặng coi là đồng ý | Trước khi tiến hành xử lý |
| Đánh giá tác động (PIA) | Lập hồ sơ đánh giá rủi ro xử lý dữ liệu theo Mẫu số 10 | Trong vòng 60 ngày kể từ khi xử lý |
| Thông báo sự cố | Báo cáo cơ quan chuyên trách khi xảy ra lộ lọt dữ liệu | Trong vòng 72 giờ |
| Nhân sự bảo vệ (DPO) | Bổ nhiệm người có trình độ và kinh nghiệm phù hợp | Khi xử lý dữ liệu nhạy cảm |
| Xóa, hủy dữ liệu | Phải thực hiện khi hết mục đích hoặc chấm dứt hợp đồng | Theo quy định hoặc thỏa thuận |
Kết luận
Việc phân định rạch ròi khái niệm và chủng loại dữ liệu cá nhân là viên gạch đầu tiên và quan trọng nhất trong việc xây dựng một xã hội số an toàn và minh bạch. Pháp luật hiện hành đã thiết lập một "lưới lọc" chi tiết, chia tách giữa dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm, từ đó áp dụng các cơ chế bảo hộ tương xứng với mức độ rủi ro đối với quyền và lợi ích hợp pháp của chủ thể dữ liệu. Điều này cho thấy tư duy lập pháp không chỉ dừng lại ở việc quản lý thông tin, mà đã tiến tới bảo vệ "bản sắc số" của mỗi con người trước những nguy cơ bị xâm nhập, mua bán trái phép hoặc thao túng bởi các thuật toán phức tạp.
Tuy nhiên, trong một thế giới mà dữ liệu không ngừng biến đổi và luân chuyển, các quy định pháp lý dù chặt chẽ đến đâu cũng cần sự đồng hành từ ý thức tự bảo vệ của người dân và đạo đức kinh doanh của các doanh nghiệp kiểm soát dữ liệu. Việc thực thi nghiêm túc các quy chuẩn về bảo vệ dữ liệu cá nhân không chỉ giúp doanh nghiệp tránh được các chế tài pháp lý nghiêm khắc, mà còn là yếu tố then chốt để xây dựng niềm tin số (Digital Trust) với khách hàng. Khép lại vấn đề, dữ liệu cá nhân là phần mở rộng của quyền nhân thân trong thời đại mới; vì vậy, tôn trọng dữ liệu cá nhân chính là tôn trọng giá trị con người và sự thượng tôn pháp luật trong tiến trình chuyển đổi số quốc gia.
Nếu quý khách hàng đang gặp phải bất kỳ vấn đề pháp lý nào hoặc có câu hỏi cần được giải đáp, xin vui lòng không ngần ngại liên hệ với chúng tôi thông qua Tổng đài tư vấn pháp luật trực tuyến qua số hotline 1900.6162. Đội ngũ chuyên gia của chúng tôi sẵn sàng lắng nghe và cung cấp sự tư vấn chuyên nghiệp để giúp quý khách giải quyết mọi vấn đề một cách hiệu quả và đúng luật. Ngoài ra, quý khách hàng cũng có thể gửi yêu cầu chi tiết qua email: lienhe@luatminhkhue.vn để được hỗ trợ và giải đáp mọi thắc mắc một cách nhanh chóng. Chúng tôi cam kết đáp ứng mọi yêu cầu của quý khách hàng một cách chu đáo và chất lượng.
