- 1. Dữ liệu cá nhân cơ bản là gì?
- 1.1. Định nghĩa và các yếu tố nhân thân
- 1.2. Danh mục phổ biến các loại dữ liệu cơ bản
- 1.3. Đặc điểm và ranh giới sử dụng trong giao dịch xã hội
- 2. Dữ liệu cá nhân nhạy cảm là gì?
- 2.1. Định nghĩa gắn liền với quyền riêng tư và mức độ rủi ro
- 2.2. Danh mục đặc thù của dữ liệu cá nhân nhạy cảm
- 2.3. Hệ quả pháp lý và trách nhiệm đối với tổ chức
- 3. So sánh và phân biệt dữ liệu cá nhân cơ bản và nhạy cảm
- 4. Ý nghĩa của việc phân loại dữ liệu trong công tác bảo vệ thông tin
- 4.1. Xác định nghĩa vụ của bên kiểm soát và bên xử lý dữ liệu
- 4.2. Quy trình thông báo và xin ý kiến chủ thể dữ liệu
- 4.3. Xây dựng nhân sự và quy trình đánh giá rủi ro
- Kết luận
Trong dòng chảy không ngừng của cuộc Cách mạng Công nghiệp lần thứ tư, dữ liệu không chỉ đơn thuần là các bit thông tin vô tri mà đã trở thành "huyết mạch" của nền kinh tế số và là phần mở rộng tất yếu của quyền nhân thân. Tại Việt Nam, việc Chính phủ ban hành và thực thi nghiêm ngặt các quy định về bảo vệ dữ liệu cá nhân đã đánh dấu một bước ngoặt quan trọng trong tư duy lập pháp: chuyển từ quản lý hành chính sang bảo hộ quyền con người trên không gian mạng.
Dữ liệu cá nhân, dưới góc độ pháp lý, là hiện thân của danh dự, nhân phẩm và sự riêng tư của mỗi cá thể. Tuy nhiên, để thiết lập một cơ chế bảo vệ tương xứng với mức độ rủi ro, pháp luật không đánh đồng mọi loại thông tin. Thay vào đó, một hệ thống phân loại tinh vi đã được xác lập, phân tách rõ rệt giữa dữ liệu cá nhân cơ bản – những thông tin nền tảng định danh con người trong xã hội, và dữ liệu cá nhân nhạy cảm – những thông tin cốt lõi gắn liền với quyền riêng tư mà khi bị xâm phạm có thể dẫn đến những hệ lụy khôn lường về vật chất lẫn tinh thần.
1. Dữ liệu cá nhân cơ bản là gì?
Dữ liệu cá nhân cơ bản được coi là những thông tin nhận dạng phổ biến nhất, hình thành nên danh tính số của một cá nhân trong các tương tác hàng ngày.
1.1. Định nghĩa và các yếu tố nhân thân
Theo quy định tại Khoản 2 Điều 2 Luật Bảo vệ dữ liệu cá nhân 2025 (Luật 2025), dữ liệu cá nhân cơ bản là dữ liệu phản ánh các yếu tố nhân thân, lai lịch phổ biến, thường xuyên được sử dụng trong các giao dịch và quan hệ xã hội. Bản chất của nhóm dữ liệu này là tính định danh cao nhưng mức độ tác động riêng tư trực tiếp thấp hơn so với dữ liệu nhạy cảm. Tuy nhiên, trong kỷ nguyên dữ liệu lớn, việc tổng hợp các dữ liệu cơ bản vẫn có thể giúp xác định một cách chính xác một cá nhân cụ thể, do đó vẫn cần các biện pháp bảo vệ phù hợp.
Các yếu tố nhân thân này không chỉ giới hạn trong các giấy tờ pháp lý mà còn bao gồm cả những biểu hiện của cá nhân trên môi trường số, phản ánh một cách sống động diện mạo và sự tồn tại của cá nhân đó trong cộng đồng.
1.2. Danh mục phổ biến các loại dữ liệu cơ bản
Luật 2025 và Nghị định 356/2025/NĐ-CP đã cụ thể hóa danh mục này để tạo thuận lợi cho việc áp dụng trong thực tế. Các loại dữ liệu này thường là đầu vào cho hầu hết các quy trình dịch vụ công và tư nhân.
| Nhóm dữ liệu | Thành phần cụ thể |
| Định danh pháp lý | Họ, chữ đệm và tên khai sinh, tên gọi khác (nếu có); Ngày, tháng, năm sinh; Giới tính; Quốc tịch. |
| Liên lạc và Cư trú | Số điện thoại; Nơi sinh, nơi đăng ký khai sinh, nơi thường trú, tạm trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ. |
| Giấy tờ tùy thân | Số chứng minh nhân dân/thẻ căn cước, số định danh cá nhân, số hộ chiếu, số giấy phép lái xe, số biển số xe. |
| Mã định danh chuyên ngành | Mã số thuế cá nhân, số bảo hiểm xã hội, số thẻ bảo hiểm y tế. |
| Quan hệ gia đình | Tình trạng hôn nhân; Thông tin về mối quan hệ gia đình (cha mẹ, con cái, vợ chồng). |
| Dữ liệu hình ảnh và số | Hình ảnh của cá nhân; Thông tin về tài khoản số; Nhóm máu (một trường hợp ngoại lệ trong dữ liệu sức khỏe). |
Đặc biệt, sự bổ sung thông tin về "mối quan hệ vợ chồng" vào danh mục dữ liệu cơ bản trong Nghị định 356 cho thấy sự hoàn thiện trong việc quản lý dữ liệu hộ tịch để phục vụ các dịch vụ công và dân sự.
1.3. Đặc điểm và ranh giới sử dụng trong giao dịch xã hội
Dữ liệu cá nhân cơ bản có đặc điểm là tần suất sử dụng rất cao. Chúng xuất hiện từ việc đăng ký một tài khoản mạng xã hội, mua hàng trực tuyến đến việc thực hiện các thủ tục tại ngân hàng. Do tính chất phổ biến, các doanh nghiệp thường thu thập nhóm dữ liệu này như một phần tất yếu của hoạt động kinh doanh.
Tuy nhiên, ranh giới giữa dữ liệu cơ bản và nhạy cảm có thể trở nên mong manh. Ví dụ, hình ảnh cá nhân là dữ liệu cơ bản, nhưng nếu hình ảnh đó được sử dụng cho mục đích nhận dạng khuôn mặt (sinh trắc học) thì nó sẽ trở thành dữ liệu nhạy cảm. Điều này đòi hỏi các tổ chức phải có quy trình phân loại động, thay đổi mức độ bảo vệ tùy theo mục đích xử lý.
2. Dữ liệu cá nhân nhạy cảm là gì?
Dữ liệu cá nhân nhạy cảm đại diện cho lớp lõi của quyền riêng tư. Khi các dữ liệu này bị xâm phạm, hậu quả đối với cá nhân thường mang tính nghiêm trọng, khó khắc phục và trực tiếp xâm phạm đến danh dự, nhân phẩm hoặc an toàn của họ.
2.1. Định nghĩa gắn liền với quyền riêng tư và mức độ rủi ro
Khoản 3 Điều 2 Luật Bảo vệ dữ liệu cá nhân 2025 định nghĩa dữ liệu cá nhân nhạy cảm là dữ liệu gắn liền với quyền riêng tư, khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp đến quyền và lợi ích hợp pháp của cá nhân, tổ chức. Đây là những thông tin mà nếu bị lộ lọt, có thể dẫn đến sự phân biệt đối xử, đe dọa đến tính mạng, sức khỏe hoặc tài sản của chủ thể.
Mức độ rủi ro cao của dữ liệu nhạy cảm buộc pháp luật phải thiết lập các "biện pháp bảo vệ nâng cao". Điều này có nghĩa là không chỉ dừng lại ở việc bảo mật kỹ thuật thông thường mà còn phải có các quy trình quản lý nhân sự, đánh giá tác động và sự đồng ý tường minh từ chủ thể dữ liệu.
2.2. Danh mục đặc thù của dữ liệu cá nhân nhạy cảm
Nghị định 356/2025/NĐ-CP đã mở rộng và làm rõ danh mục này để tương thích với các thách thức mới trên không gian mạng.
| Nhóm dữ liệu nhạy cảm | Nội dung chi tiết |
| Quan điểm và Nguồn gốc | Quan điểm chính trị, tôn giáo, tín ngưỡng; Nguồn gốc chủng tộc, dân tộc. |
| Sức khỏe và Di truyền | Tình trạng sức khỏe và đời tư ghi trong hồ sơ bệnh án; Đặc điểm di truyền; Đặc điểm sinh học riêng (sinh trắc học). |
| Đời sống riêng tư | Thông tin về đời sống tình dục, xu hướng tình dục; Bí mật cá nhân, bí mật gia đình. |
| Pháp lý và Vị trí | Dữ liệu về tội phạm, hành vi phạm tội; Vị trí cá nhân xác định qua dịch vụ định vị. |
| Tài chính và Định danh số | Thông tin khách hàng của tổ chức tín dụng (tiền gửi, giao dịch); Tên đăng nhập/mật khẩu tài khoản định danh điện tử hoặc tài khoản ngân hàng. |
| Hành vi trên không gian mạng | Dữ liệu theo dõi hành vi, lịch sử hoạt động trên mạng xã hội, viễn thông và các dịch vụ trực tuyến khác. |
Một điểm đột phá là việc xếp "dữ liệu lịch sử hoạt động trên không gian mạng" vào nhóm nhạy cảm. Điều này phản ánh thực tế rằng các dấu vết số của một người có thể tiết lộ tính cách, xu hướng và những bí mật đời tư sâu kín nhất, vượt xa những thông tin nhân thân truyền thống.
2.3. Hệ quả pháp lý và trách nhiệm đối với tổ chức
Việc xử lý dữ liệu nhạy cảm đặt ra những trách nhiệm pháp lý nặng nề hơn cho doanh nghiệp. Mọi vi phạm liên quan đến dữ liệu này thường được coi là tình tiết tăng nặng trong xử phạt. Doanh nghiệp không thể áp dụng cơ chế "miễn trừ" (như đối với doanh nghiệp nhỏ/siêu nhỏ xử lý dữ liệu cơ bản) nếu họ đang trực tiếp xử lý dữ liệu nhạy cảm.
Hệ quả trực tiếp bao gồm:
- Trách nhiệm bồi thường: Nguy cơ phải bồi thường thiệt hại lớn hơn nếu để lộ lọt thông tin sức khỏe hoặc tài chính.
- Truy cứu hình sự: Các hành vi mua bán dữ liệu nhạy cảm có khả năng bị truy cứu trách nhiệm hình sự cao hơn so với dữ liệu cơ bản.
- Mất uy tín: Đối với các tổ chức tài chính hoặc y tế, việc lộ dữ liệu nhạy cảm có thể dẫn đến sự sụp đổ niềm tin của khách hàng, gây thiệt hại kinh tế không thể đo đếm.
3. So sánh và phân biệt dữ liệu cá nhân cơ bản và nhạy cảm
Việc phân biệt rõ ràng hai loại dữ liệu này không chỉ giúp tuân thủ pháp luật mà còn là nền tảng để xây dựng hệ thống quản trị rủi ro dữ liệu hiệu quả. Sự khác biệt được thể hiện rõ nét qua ba trụ cột: Bản chất dữ liệu, Nghĩa vụ của tổ chức và Quyền của chủ thể.
| Tiêu chí so sánh | Dữ liệu cá nhân cơ bản | Dữ liệu cá nhân nhạy cảm |
| Bản chất pháp lý | Thông tin định danh phổ biến trong xã hội. | Thông tin gắn liền mật thiết với quyền riêng tư. |
| Yêu cầu sự đồng ý | Đồng ý rõ ràng cho mục đích cụ thể. | Đồng ý tường minh; chủ thể phải biết mình đang cung cấp dữ liệu nhạy cảm. |
| Biện pháp kỹ thuật | Các biện pháp bảo vệ tiêu chuẩn (mã hóa, phân quyền truy cập). | Biện pháp bảo vệ nâng cao; mã hóa mạnh; kiểm soát truy cập vật lý và hệ thống chặt chẽ. |
| Nhân sự bảo vệ dữ liệu | Không bắt buộc chỉ định (ngoại trừ tổ chức quy mô lớn). | Bắt buộc chỉ định nhân sự (DPO) và bộ phận bảo vệ dữ liệu (DPD). |
| Đánh giá tác động (DPIA) | Chỉ bắt buộc trong một số trường hợp (như chuyển xuyên biên giới). | Bắt buộc lập Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân cho mọi quy mô doanh nghiệp. |
| Mức độ xử phạt | Theo quy định chung. | Thường là tình tiết tăng nặng; mức phạt có thể lên tới 5% doanh thu cho một số vi phạm. |
Trong thực tiễn, một mẩu dữ liệu có thể chuyển từ trạng thái cơ bản sang nhạy cảm dựa trên ngữ cảnh xử lý.
Trường hợp 1: Dữ liệu âm thanh. Ghi âm giọng nói của một nhân viên trong cuộc họp thông thường là dữ liệu cơ bản (hình ảnh/âm thanh của cá nhân). Tuy nhiên, nếu đoạn ghi âm đó được sử dụng để trích xuất "dấu vân tay giọng nói" nhằm mục đích xác thực đăng nhập tài khoản ngân hàng, nó trở thành dữ liệu sinh trắc học và thuộc nhóm nhạy cảm.
Trường hợp 2: Thông tin vị trí. Một địa chỉ cư trú ghi trên hợp đồng lao động là dữ liệu cơ bản. Tuy nhiên, nếu một ứng dụng theo dõi GPS ghi lại lộ trình di chuyển thời gian thực của cá nhân, dữ liệu này được coi là dữ liệu nhạy cảm do khả năng tiết lộ thói quen, đời tư và các nguy cơ an ninh cá nhân.
Trường hợp 3: Nhóm máu. Đây là một trường hợp đặc biệt. Mặc dù liên quan đến sức khỏe, nhưng nhóm máu được xếp vào dữ liệu cơ bản vì nó thường được công khai trong các tình huống khẩn cấp (như thẻ hiến máu) và ít mang tính rủi ro về đời tư hơn so với hồ sơ bệnh án.
4. Ý nghĩa của việc phân loại dữ liệu trong công tác bảo vệ thông tin
Phân loại dữ liệu là "chìa khóa" để doanh nghiệp xây dựng lộ trình tuân thủ phù hợp, tránh lãng phí nguồn lực và tối đa hóa khả năng bảo vệ chủ thể dữ liệu.
4.1. Xác định nghĩa vụ của bên kiểm soát và bên xử lý dữ liệu
Luật 2025 phân định rõ trách nhiệm dựa trên vai trò của các thực thể tham gia vào chu trình dữ liệu.
- Bên kiểm soát dữ liệu: Là thực thể quyết định mục đích và phương tiện xử lý. Họ có nghĩa vụ cao nhất trong việc phân loại dữ liệu và chỉ thị cho các bên liên quan áp dụng biện pháp bảo vệ tương ứng. Nếu dữ liệu là nhạy cảm, Bên kiểm soát phải thực hiện đánh giá rủi ro và đảm bảo sự đồng ý của chủ thể là hoàn toàn tự nguyện và minh bạch.
- Bên xử lý dữ liệu: Thực hiện xử lý theo hợp đồng với Bên kiểm soát. Họ phải đảm bảo các biện pháp kỹ thuật mà mình áp dụng đáp ứng tiêu chuẩn mà pháp luật quy định cho từng loại dữ liệu.
Sự phân loại rõ ràng giúp các bên thiết lập các điều khoản hợp đồng xử lý dữ liệu (DPA) chặt chẽ, xác định rõ ai sẽ chịu trách nhiệm khi có sự cố lộ lọt dữ liệu nhạy cảm xảy ra.
4.2. Quy trình thông báo và xin ý kiến chủ thể dữ liệu
Quy trình lấy sự đồng ý được siết chặt hơn trong Luật 2025 nhằm chấm dứt tình trạng "hình thức hóa sự đồng ý".
- Đối với dữ liệu cơ bản: Sự đồng ý phải rõ ràng, có thể kiểm chứng nhưng có thể linh hoạt qua nhiều hình thức như văn bản, tin nhắn, hoặc thao tác trên ứng dụng.
- Đối với dữ liệu nhạy cảm: Doanh nghiệp bắt buộc phải thông báo cho chủ thể rằng "dữ liệu sắp xử lý là dữ liệu nhạy cảm". Sự đồng ý phải mang tính tường minh, nghĩa là không được sử dụng các thiết lập mặc định hoặc gây hiểu lầm.
Quy trình rút lại sự đồng ý cũng phải được thực hiện một cách dễ dàng. Theo Nghị định 356, khi nhận được yêu cầu rút lại sự đồng ý, doanh nghiệp phải phản hồi trong vòng 02 ngày làm việc và thực hiện việc ngừng xử lý trong vòng 15-20 ngày tùy trường hợp.
4.3. Xây dựng nhân sự và quy trình đánh giá rủi ro
Việc phân loại dữ liệu nhạy cảm dẫn đến nghĩa vụ bắt buộc về nhân sự và hồ sơ pháp lý.
Nhân sự bảo vệ dữ liệu (DPO): Phải có trình độ từ cao đẳng trở lên và ít nhất 02 năm kinh nghiệm trong các lĩnh vực liên quan như an ninh mạng, pháp chế hoặc quản trị rủi ro. Doanh nghiệp có thể bổ nhiệm nhân sự nội bộ hoặc thuê dịch vụ bên ngoài.
Đánh giá tác động xử lý dữ liệu (DPIA): Đây là quá trình phân tích rủi ro có thể xảy ra khi xử lý dữ liệu, từ đó áp dụng các biện pháp giảm thiểu. Đối với dữ liệu nhạy cảm, hồ sơ này phải luôn sẵn sàng để cung cấp cho cơ quan chuyên trách (Bộ Công an) khi có yêu cầu hoặc khi thực hiện các thủ tục hành chính liên quan.
Kết luận
Việc phân định rạch ròi giữa dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm không chỉ là một thao tác kỹ thuật của các nhà lập pháp, mà còn là sự khẳng định giá trị tôn nghiêm của quyền riêng tư trong một thế giới phẳng. Hệ thống phân loại này chính là kim chỉ nam giúp các chủ thể kiểm soát dữ liệu xác định đúng trách nhiệm, nghĩa vụ và các biện pháp bảo mật tương xứng, tránh tình trạng "vàng thau lẫn lộn" trong hoạt động xử lý thông tin.
Trong bối cảnh năm 2026, khi các chế tài về vi phạm dữ liệu cá nhân ngày càng trở nên nghiêm khắc, việc thấu hiểu các loại dữ liệu không còn là lựa chọn, mà đã trở thành điều kiện tiên quyết để tồn tại và phát triển bền vững của mọi tổ chức. Dữ liệu cá nhân là một thực thể sống động, liên tục biến đổi theo bước tiến của công nghệ; do đó, các quy định pháp lý cũng cần sự vận động và hoàn thiện không ngừng để luôn là "lá chắn" vững chắc cho người dân. Cuối cùng, sự an toàn của dữ liệu cá nhân chỉ thực sự được đảm bảo khi có sự cộng hưởng giữa quyền lực pháp lý từ Nhà nước, đạo đức kinh doanh từ doanh nghiệp và sự nâng cao ý thức tự bảo vệ của mỗi chủ thể dữ liệu. Đó chính là nền tảng cốt lõi để xây dựng một xã hội số văn minh, an toàn và thượng tôn pháp luật.
Mọi vướng mắc pháp lý vui lòng liên hệ Luật sư tư vấn pháp luật trực tuyến qua điện thoại gọi: 1900.6162 để được đội ngũ luật sư giàu kinh nghiệm của Công ty luật Minh Khuê tư vấn, giải đáp chi tiết.Chúng tôi rất hân hạnh khi nhận được sự hợp tác của quý khách hàng. Xin chân thành cảm ơn!
