Các trường hợp xử lý dữ liệu cá nhân không cần sự đồng ý của chủ thể dữ liệu cá nhân

Trong cấu trúc của pháp luật bảo vệ dữ liệu cá nhân, nguyên tắc "Sự đồng ý" được coi là hòn đá tảng bảo đảm quyền tự quyết của công dân đối với thông tin của chính mình. Tuy nhiên, quyền riêng tư không phải là một quyền tuyệt đối và bất biến trong mọi hoàn cảnh. Thực tiễn quản lý xã hội và bảo vệ con người cho thấy, có những tình huống khẩn cấp hoặc mang tính đặc thù mà việc chờ đợi sự đồng ý của chủ thể dữ liệu có thể dẫn đến những hậu quả không thể đảo ngược đối với tính mạng, sức khỏe cá nhân hoặc an ninh trật tự của toàn cộng đồng.

Nhận diện được tính cấp thiết đó, pháp luật Việt Nam đã thiết lập một "hành lang đặc lệ" minh định các trường hợp xử lý dữ liệu cá nhân không cần sự đồng ý của chủ thể. Đây không phải là sự xâm phạm quyền riêng tư, mà là sự ưu tiên cho các giá trị nhân văn và pháp lý cao hơn như: cứu giúp người trong tình trạng khẩn cấp, thực hiện nghĩa vụ theo luật định, hay bảo vệ an ninh quốc gia. Việc hiểu rõ các trường hợp ngoại lệ này không chỉ giúp các cơ quan nhà nước và tổ chức xử lý dữ liệu hành động kịp thời, quyết đoán trong các tình huống nhạy cảm, mà còn giúp chủ thể dữ liệu nhận thức được giới hạn của quyền riêng tư trong mối tương quan với lợi ích chung của xã hội. 

1. Tầm quan trọng của việc quy định các trường hợp ngoại lệ về sự đồng ý

Trong triết lý pháp quyền hiện đại, quyền riêng tư được coi là một trong những quyền con người cơ bản, gắn liền với phẩm giá và tự do cá nhân. Tuy nhiên, quyền riêng tư không phải là một quyền tuyệt đối. Việc pháp luật quy định các trường hợp ngoại lệ xử lý dữ liệu cá nhân mà không cần sự đồng ý xuất phát từ yêu cầu thực tiễn về việc giải quyết bài toán hài hòa giữa quyền riêng tư cá nhân và lợi ích công cộng hoặc an ninh quốc gia.

Giải quyết xung đột giữa quyền cá nhân và lợi ích cộng đồng: Nếu pháp luật quy định mọi hoạt động xử lý dữ liệu đều phải có sự đồng ý rõ ràng, tự nguyện của chủ thể, xã hội sẽ rơi vào tình trạng đình trệ trong các tình huống đòi hỏi phản ứng tức thời. Trong các thảm họa thiên tai, dịch bệnh hoặc tai nạn cấp cứu, việc chờ đợi một văn bản đồng ý từ người đang bất tỉnh hoặc một đám đông đang hoảng loạn là điều bất khả thi và phi lý. Do đó, các ngoại lệ này được thiết kế như những "van an toàn" để bảo vệ những giá trị cao hơn: tính mạng và sức khỏe cộng đồng.

Đảm bảo an ninh quốc gia và trật tự an toàn xã hội: Trong kỷ nguyên số, các mối đe dọa về an ninh không còn giới hạn ở biên giới vật lý mà mở rộng ra không gian mạng. Hoạt động của tội phạm công nghệ cao, khủng bố, và các hành vi chống phá nhà nước thường sử dụng dữ liệu cá nhân làm công cụ hoặc mục tiêu. Nếu các cơ quan thực thi pháp luật như Công an hay Quân đội bị buộc phải xin phép đối tượng trước khi thu thập dữ liệu phục vụ điều tra, công tác phòng chống tội phạm sẽ hoàn toàn thất bại. Sự ngoại lệ tại Điều 19 Luật Bảo vệ dữ liệu cá nhân 2025 cung cấp cơ sở pháp lý để nhà nước duy trì chủ quyền số và bảo vệ sự bình yên của xã hội.

Tối ưu hóa hiệu quả quản lý nhà nước và cắt giảm thủ tục hành chính: Việc xử lý dữ liệu phục vụ hoạt động của cơ quan nhà nước đã được quy định trong các luật chuyên ngành (như Luật Thuế, Luật Bảo hiểm xã hội, Luật Cư trú). Nếu không có các ngoại lệ này, mỗi giao dịch hành chính giữa người dân và chính quyền sẽ trở nên cồng kềnh vì phải lặp lại các bước xin phép xử lý dữ liệu vốn đã được luật định cho các mục đích công vụ. Điều này giúp chính phủ kiến tạo một môi trường hành chính điện tử thông suốt, minh bạch và hiệu quả hơn.

2. Trường hợp xử lý dữ liệu cá nhân không cần sự đồng ý

Hệ thống pháp luật Việt Nam, cụ thể là Khoản 1 Điều 19 Luật Bảo vệ dữ liệu cá nhân 2025, đã khu biệt rõ ràng 05 nhóm trường hợp ngoại lệ. Đây là những "vùng xanh" pháp lý cho phép bên kiểm soát và xử lý dữ liệu thực hiện quyền năng của mình mà không cần sự phê chuẩn trực tiếp từ chủ thể.

2.1. Bảo vệ tính mạng, sức khỏe và lợi ích cấp bách 

Đây là trường hợp ngoại lệ dựa trên nguyên tắc nhân đạo và ưu tiên quyền sống của con người. Trong tình trạng khẩn cấp, khi tính mạng hoặc sức khỏe của chủ thể dữ liệu hoặc người khác đang bị đe dọa nghiêm trọng, việc xử lý dữ liệu cá nhân liên quan là cần thiết và phải được thực hiện ngay lập tức.

Đặc biệt, Luật Bảo vệ dữ liệu cá nhân 2025 đã mở rộng phạm vi này không chỉ bao gồm tính mạng, sức khỏe mà còn cả "danh dự, nhân phẩm, quyền và lợi ích hợp pháp" của cá nhân. Điều này cho thấy sự nhìn nhận toàn diện của lập pháp về các giá trị nhân thân cần được bảo vệ trong tình huống cấp bách.

2.2. Giải quyết tình trạng khẩn cấp và an ninh quốc gia 

Trường hợp này liên quan đến các kịch bản vĩ mô, ảnh hưởng tới sự tồn vong của chế độ, sự ổn định của đất nước hoặc an toàn của số đông dân cư. Các cơ quan nhà nước có thẩm quyền được quyền xử lý dữ liệu trong các tình trạng khẩn cấp về quốc phòng, an ninh quốc gia, trật tự an toàn xã hội, thảm họa lớn, hoặc dịch bệnh nguy hiểm.

Một điểm đáng lưu ý là quyền năng này còn mở rộng cho cả các trường hợp "khi có nguy cơ đe dọa an ninh, quốc phòng nhưng chưa đến mức ban bố tình trạng khẩn cấp". Quy định này cho phép lực lượng Công an nhân dân chủ động phòng ngừa, đấu tranh với tội phạm sử dụng công nghệ cao và các hành vi xâm phạm an ninh quốc gia trên không gian mạng một cách kịp thời.

2.3. Phục vụ hoạt động của cơ quan nhà nước

Đây là ngoại lệ nhằm đảm bảo sự vận hành liên tục của bộ máy hành chính công. Việc xử lý dữ liệu cá nhân của cơ quan nhà nước có thẩm quyền được thực hiện theo quy định của pháp luật chuyên ngành hoặc phục vụ hoạt động quản lý nhà nước.

Hoạt động này bao gồm nhưng không giới hạn ở:

• Xử lý dữ liệu trong hoạt động tư pháp, thi hành án.
• Quản lý thuế, hải quan, và các nghĩa vụ tài chính khác đối với ngân sách nhà nước.
• Cung cấp dịch vụ công trực tuyến, quản lý dân cư và hộ tịch.

Cơ sở pháp lý ở đây không chỉ nằm ở Nghị định 13 mà còn nằm ở sự kết nối đồng bộ với các văn bản luật khác như Luật An ninh mạng, Luật Căn cước, và các luật về quản lý chuyên ngành.

2.4. Thực hiện thỏa thuận theo quy định pháp luật 

Ngoại lệ này áp dụng khi việc xử lý dữ liệu là cần thiết để thực hiện các nghĩa vụ trong hợp đồng hoặc thỏa thuận mà chủ thể dữ liệu là một bên tham gia, theo đúng quy định của pháp luật. Tuy nhiên, cần lưu ý rằng "thực hiện hợp đồng" không phải là một tấm séc trắng cho phép doanh nghiệp khai thác dữ liệu vô hạn. Việc xử lý phải giới hạn trong phạm vi cần thiết để hoàn thành mục đích của thỏa thuận đó.

Ví dụ, một ngân hàng xử lý thông tin tài khoản và giao dịch của khách hàng để thực hiện hợp đồng mở thẻ tín dụng hoặc cho vay. Trong trường hợp này, việc xử lý là mặc nhiên để thực thi các cam kết mà khách hàng đã ký kết, không cần phải xin phép cho mỗi lần hạch toán hay kiểm tra số dư.

2.5. Các trường hợp khác theo quy định pháp luật 

Đây là quy định "quét" để bao quát các tình huống cụ thể khác đã được các văn bản luật khác quy định rõ ràng. Một trường hợp điển hình nhất là việc "công khai dữ liệu cá nhân theo quy định của luật".

• Công khai danh sách cử tri bầu cử Quốc hội và Hội đồng nhân dân các cấp.
• Công khai thông tin về người trúng tuyển trong các kỳ thi tuyển công chức, viên chức.
• Công khai thông tin về các cá nhân vi phạm pháp luật trong các lĩnh vực bắt buộc phải công bố công khai để răn đe.

3. Trách nhiệm của đơn vị xử lý dữ liệu khi không có sự đồng ý

Việc được miễn trừ nghĩa vụ xin sự đồng ý của chủ thể dữ liệu không có nghĩa là đơn vị xử lý được miễn trừ các nghĩa vụ bảo vệ dữ liệu. Ngược lại, vì quyền tự quyết của cá nhân bị hạn chế, pháp luật đặt ra các tiêu chuẩn giám sát và bảo mật khắt khe hơn đối với bên kiểm soát và bên xử lý dữ liệu để ngăn ngừa sự lạm quyền.

Tại quy định Khoản 2 Điều 19 Các cơ quan, tổ chức khi thực hiện xử lý dữ liệu theo các trường hợp ngoại lệ phải thiết lập một hệ thống giám sát nội bộ và chịu sự giám sát của cơ quan chuyên trách (Bộ Công an). Cơ chế này bao gồm:

• Xây dựng quy trình, quy định nội bộ: Doanh nghiệp phải có văn bản quy định rõ quy trình xử lý dữ liệu trong tình huống khẩn cấp, phân định rõ ai là người có quyền phê duyệt việc truy cập dữ liệu mà không cần đồng ý.
• Nhật ký xử lý: Mọi thao tác truy cập, khai thác dữ liệu theo diện ngoại lệ phải được ghi lại vết (log) đầy đủ để phục vụ công tác thanh tra, kiểm tra sau này.

Bên kiểm soát dữ liệu cá nhân và Bên xử lý dữ liệu cá nhân có nghĩa vụ lập Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân (DPIA). Đối với các trường hợp xử lý không cần đồng ý, DPIA phải làm rõ:

• Căn cứ pháp lý cụ thể 
• Đánh giá mức độ ảnh hưởng đến quyền lợi của chủ thể dữ liệu.
• Các biện pháp giảm thiểu rủi ro như mã hóa dữ liệu, xác thực đa yếu tố (2FA), và giới hạn quyền truy cập.

Sự minh bạch là yếu tố sống còn để đảm bảo tính chính danh của việc xử lý dữ liệu ngoại lệ. Doanh nghiệp cần:

Thực hiện kiểm tra, đánh giá định kỳ: Rà soát lại danh mục dữ liệu đang được xử lý theo diện không cần đồng ý để đảm bảo sau khi tình huống khẩn cấp qua đi, dữ liệu phải được xóa hoặc ẩn danh hóa nếu không còn mục đích hợp pháp khác.

Cơ chế tiếp nhận phản ánh, kiến nghị: Thiết lập kênh liên lạc (Hotline, Email, Cổng thông tin) để chủ thể dữ liệu có thể gửi kiến nghị hoặc khiếu nại nếu họ cho rằng dữ liệu của mình đang bị xử lý sai mục đích.

4. Ví dụ thực tiễn về xử lý dữ liệu trong tình huống cấp bách

Để hiểu rõ hơn về cách thức vận hành của các quy định này, hãy xem xét các kịch bản thực tế mà doanh nghiệp và cơ quan nhà nước thường gặp phải:

Trường hợp 1: Cấp cứu y tế (Bảo vệ tính mạng, sức khỏe)

Một người khách du lịch nước ngoài bị tai nạn giao thông nghiêm trọng và rơi vào tình trạng hôn mê sâu. Bệnh viện tiếp nhận nạn nhân không có thông tin về tiền sử bệnh lý hay nhóm máu. Trong trường hợp này, bệnh viện có quyền yêu cầu cơ quan công an phối hợp truy xuất dữ liệu từ hộ chiếu hoặc thông tin định danh cá nhân, đồng thời liên hệ với các tổ chức y tế quốc tế để lấy hồ sơ bệnh án điện tử mà không cần sự đồng ý của nạn nhân. Mục đích duy nhất là cứu sống con người, và đây là ngoại lệ điển hình tại Điểm a.

Trường hợp 2: Truy vết tội phạm mạng (An ninh quốc gia)

Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05) phát hiện một tài khoản mạng xã hội đang phát tán các thông tin kích động bạo loạn và có dấu hiệu chuẩn bị tấn công khủng bố vào hệ thống hạ tầng trọng yếu. A05 có quyền yêu cầu nhà cung cấp dịch vụ Internet (ISP) và nền tảng mạng xã hội cung cấp thông tin đăng ký, địa chỉ IP, và nội dung tin nhắn liên quan của đối tượng này ngay lập tức mà không cần thông báo hay xin phép đối tượng. Đây là việc xử lý dữ liệu phục vụ an ninh quốc gia theo Điểm b.

Trường hợp 3: Quản lý thuế và bảo hiểm (Phục vụ hoạt động cơ quan nhà nước)

Cơ quan Thuế thực hiện việc đối soát dữ liệu thu nhập từ các nền tảng thương mại điện tử để xác định nghĩa vụ thuế của các cá nhân kinh doanh online. Việc thu thập dữ liệu từ các sàn thương mại điện tử (như Shopee, Lazada) được thực hiện theo quy định của Luật Quản lý thuế và các thông tư hướng dẫn, thuộc ngoại lệ tại Điểm c. Cá nhân người bán không thể từ chối việc cung cấp thông tin này với lý do "chưa đồng ý cho phép xử lý dữ liệu".

Kết luận

Các trường hợp xử lý dữ liệu cá nhân không cần sự đồng ý của chủ thể chính là những "van an toàn" giúp hệ thống pháp luật vận hành linh hoạt và hiệu quả trước những biến cố bất ngờ của đời sống xã hội. Việc xác lập các ngoại lệ này chứng minh rằng pháp luật bảo vệ dữ liệu cá nhân không được thiết kế để trở thành rào cản cho công tác cứu nạn cứu hộ, thực thi tư pháp hay bảo vệ sức khỏe cộng đồng. Thay vào đó, nó tạo ra một cơ chế xử lý thông tin dựa trên nguyên tắc "lợi ích vượt trội", nơi mà sự sống và an toàn xã hội được đặt lên vị trí ưu tiên hàng đầu.

Tuy nhiên, việc cho phép xử lý dữ liệu mà không cần sự đồng ý không đồng nghĩa với việc các tổ chức được phép lạm quyền hoặc nới lỏng các tiêu chuẩn bảo mật. Ngay cả trong những trường hợp đặc lệ này, bên xử lý dữ liệu vẫn phải tuân thủ nghiêm ngặt nguyên tắc tối thiểu hóa thông tin, đảm bảo tính chính trực và phải chịu trách nhiệm giải trình trước pháp luật về tính cần thiết của hành vi xử lý. Trong tương lai, khi các tình huống khẩn cấp về y tế hay an ninh mạng trở nên phức tạp hơn, các quy định này sẽ tiếp tục là điểm tựa pháp lý vững chắc để bảo vệ con người. Sự kết hợp giữa quyền tự quyết cá nhân và các quyền năng đặc biệt của nhà nước trong những hoàn cảnh ngặt nghèo chính là biểu hiện rõ nét nhất của một hệ thống pháp luật minh bạch, nhân văn và vì sự phát triển bền vững của cộng đồng.

Mọi vướng mắc pháp lý vui lòng liên hệ Luật sư tư vấn pháp luật trực tuyến qua điện thoại gọi: 1900.6162 để được đội ngũ luật sư giàu kinh nghiệm của Công ty luật Minh Khuê tư vấn, giải đáp chi tiết.Chúng tôi rất hân hạnh khi nhận được sự hợp tác của quý khách hàng. Xin chân thành cảm ơn!