Dữ liệu cá nhân được công khai khi nào?

Trong nguyên tắc cơ bản của quyền con người, bí mật đời tư là một pháo đài bất khả xâm phạm. Tuy nhiên, trong sự vận hành của một xã hội hiện đại và minh bạch, dữ liệu cá nhân không phải lúc nào cũng tồn tại dưới dạng "đóng kín". Có những thời điểm và hoàn cảnh nhất định, thông tin cá nhân buộc phải bước ra khỏi vùng an toàn của sự bảo mật để phục vụ cho lợi ích quốc gia, trật tự xã hội hoặc đơn giản là theo ý chí tự nguyện của chính chủ thể. Câu hỏi đặt ra là: Dữ liệu cá nhân được công khai khi nào và đâu là giới hạn pháp lý cho việc công khai đó?

Việc công khai dữ liệu cá nhân không phải là một hành vi tùy nghi, mà là một sự kiện pháp lý phải dựa trên các căn cứ xác đáng được quy định trong luật định. Pháp luật Việt Nam đã thiết lập một hành lang phân loại rõ rệt giữa dữ liệu được công khai theo sự đồng ý của chủ thể và dữ liệu công khai theo yêu cầu của luật chuyên ngành nhằm mục đích quản lý nhà nước hoặc bảo vệ cộng đồng. Việc nhận diện đúng thời điểm và điều kiện công khai dữ liệu không chỉ giúp các tổ chức tránh khỏi các cáo buộc xâm phạm đời tư, mà còn bảo đảm quyền được tiếp cận thông tin của xã hội một cách hợp pháp. 

1. Nguyên tắc chung về việc công khai dữ liệu cá nhân

Việc công khai dữ liệu cá nhân phải tuân thủ một hệ thống nguyên tắc xuyên suốt nhằm đảm bảo tính chính danh và bảo vệ quyền lợi tối thượng của chủ thể dữ liệu. Các nguyên tắc này không chỉ dừng lại ở văn bản pháp luật mà còn là tiêu chuẩn đạo đức trong quản trị dữ liệu hiện đại. Theo Khoản 1 Điều 16 Luật Bảo vệ dữ liệu cá nhân 2025, ba trụ cột nền tảng bao gồm mục đích cụ thể, phạm vi phù hợp và không xâm phạm quyền lợi chủ thể.

1.1. Mục đích cụ thể trong việc công khai dữ liệu

Mục đích xử lý dữ liệu là kim chỉ nam cho mọi hoạt động của Bên Kiểm soát dữ liệu. Khi dữ liệu được đưa ra công cộng, mục đích này phải được xác định rõ ràng, minh bạch và không được thay đổi tùy tiện. Việc công khai dữ liệu mà không có mục đích rõ ràng hoặc sử dụng dữ liệu đã công khai cho các mục đích khác ngoài thông báo ban đầu là hành vi vi phạm nghiêm trọng.

Một mục đích được coi là "cụ thể" khi nó giải quyết được câu hỏi: "Tại sao dữ liệu này cần phải được công chúng biết đến?". Ví dụ, cơ quan nhà nước công khai danh sách cá nhân trúng tuyển công chức để đảm bảo tính minh bạch và quyền giám sát của nhân dân. Đây là một mục đích hợp pháp và cụ thể. Ngược lại, việc một doanh nghiệp công khai danh sách khách hàng thân thiết lên mạng xã hội chỉ để "khoe" thành tích kinh doanh mà không có sự đồng ý hoặc căn cứ pháp luật khác thì sẽ bị coi là thiếu mục đích hợp lệ.

1.2. Phạm vi phù hợp và tính tương xứng của dữ liệu

Nguyên tắc phạm vi yêu cầu lượng thông tin được công khai phải ở mức tối thiểu cần thiết để đạt được mục đích đã đề ra. Đây là sự cụ thể hóa của nguyên tắc "Data Minimization" (Tối thiểu hóa dữ liệu) trong quản trị quốc tế. Việc công khai quá mức các thông tin không cần thiết như số điện thoại, địa chỉ nhà riêng hoặc tình trạng hôn nhân trong một danh sách khen thưởng học thuật là sự vi phạm về tính tương xứng.

Pháp luật yêu cầu các đơn vị thực hiện công khai phải đánh giá kỹ lưỡng từng loại dữ liệu trước khi đăng tải. Nếu mục đích chỉ là để định danh người trúng tuyển, thì việc công khai họ tên và đơn vị công tác có thể là đủ; việc công khai thêm số căn cước công dân hoặc ngày tháng năm sinh chi tiết có thể tạo ra rủi ro bị kẻ xấu lợi dụng để thực hiện hành vi lừa đảo chiếm đoạt tài sản.

1.3. Bảo vệ quyền và lợi ích hợp pháp của chủ thể dữ liệu

Nguyên tắc cuối cùng và quan trọng nhất là việc công khai không được gây hại cho chủ thể dữ liệu. Quyền riêng tư là quyền cơ bản của con người được Hiến pháp bảo vệ. Mọi hành vi công khai dữ liệu, dù nhân danh bất kỳ mục đích nào, cũng không được phép xâm phạm đến danh dự, nhân phẩm, uy tín hoặc gây thiệt hại về kinh tế cho cá nhân đó trừ các trường hợp đặc biệt do luật định.

Sự hài hòa giữa quyền lợi của tổ chức và quyền riêng tư cá nhân là bài toán khó trong thực thi pháp luật. Tuy nhiên, quan điểm của pháp luật Việt Nam hiện nay thiên về bảo vệ chủ thể dữ liệu. Khi có sự xung đột giữa lợi ích kinh tế của doanh nghiệp và quyền bảo mật thông tin của khách hàng, quyền riêng tư sẽ được ưu tiên bảo vệ nếu doanh nghiệp không chứng minh được các căn cứ pháp lý đặc thù.

2. Trường hợp được phép công khai dữ liệu cá nhân theo quy định mới

Luật Bảo vệ dữ liệu cá nhân 2025 đã thiết lập một hệ thống "cửa ngõ" pháp lý để định danh các trường hợp công khai thông tin cá nhân mà không bị coi là vi phạm. Việc nắm vững 04 trường hợp này giúp các tổ chức tự tin hơn trong việc vận hành quy trình dữ liệu của mình.

2.1. Sự đồng ý của chủ thể dữ liệu

Đây là nền tảng quan trọng nhất của việc xử lý dữ liệu cá nhân. Sự đồng ý phải được thực hiện trên cơ sở tự nguyện, hiểu biết và rõ ràng. Chủ thể dữ liệu phải được thông báo về loại dữ liệu sẽ bị công khai, mục đích công khai và các quyền lợi liên quan trước khi đưa ra quyết định.

Pháp luật cũng quy định rõ ràng rằng sự im lặng hoặc không phản hồi của chủ thể dữ liệu không được coi là sự đồng ý. Đây là bước tiến lớn nhằm ngăn chặn tình trạng các doanh nghiệp tự mặc định khách hàng đồng ý khi không thấy họ phản đối.

2.2. Theo quy định của pháp luật chuyên ngành

Trong nhiều tình huống, việc công khai dữ liệu cá nhân là nghĩa vụ pháp lý bắt buộc để phục vụ quản lý nhà nước hoặc đảm bảo tính minh bạch của thị trường. Ví dụ, Luật Quản lý thuế quy định về việc công khai danh sách người nộp thuế nợ tiền thuế, hoặc Luật Chứng khoán quy định về việc công khai thông tin của cổ đông lớn và người có liên quan của công ty niêm yết.

Căn cứ này cho phép các cơ quan hữu quan và tổ chức thực hiện công khai mà không cần xin phép chủ thể dữ liệu. Tuy nhiên, việc công khai vẫn phải tuân thủ nghiêm ngặt trình tự, thủ tục và phạm vi mà luật chuyên ngành đã quy định. Mọi hành vi công khai vượt quá thẩm quyền hoặc sai lệch nội dung so với quy định của luật chuyên ngành đều dẫn đến rủi ro pháp lý cho đơn vị thực hiện.

2.3. Trường hợp đặc biệt liên quan đến lợi ích công cộng và tình trạng khẩn cấp

Dẫn chiếu đến Điều 19 Luật Bảo vệ dữ liệu cá nhân 2025, việc xử lý và công khai dữ liệu không cần sự đồng ý của chủ thể được áp dụng trong các tình huống khẩn thiết để bảo vệ các giá trị cốt lõi của xã hội. Các kịch bản này bao gồm :

• Bảo vệ tính mạng và sức khỏe: Trong các tình huống cấp cứu, thảm họa thiên tai hoặc dịch bệnh nguy hiểm, việc công khai thông tin để tìm kiếm người thân, xác định danh tính nạn nhân hoặc cảnh báo cộng đồng là cần thiết.
• An ninh quốc gia và trật tự an toàn xã hội: Phục vụ công tác phòng, chống khủng bố, bạo loạn hoặc tội phạm nguy hiểm. Ví dụ, việc công khai lệnh truy nã kèm hình ảnh và thông tin cá nhân của nghi phạm là hành vi hợp pháp vì lợi ích chung.
• Phòng, chống vi phạm pháp luật: Việc công khai thông tin theo yêu cầu của cơ quan điều tra hoặc để ngăn chặn các hành vi gian lận quy mô lớn đe dọa đến nền kinh tế.

Trong những trường hợp này, Bên Kiểm soát dữ liệu phải có trách nhiệm chứng minh tính cấp bách và sự cần thiết của hành động công khai. Việc lạm dụng khái niệm "tình trạng khẩn cấp" để xâm phạm đời tư cá nhân sẽ bị xử lý nghiêm khắc.

2.4. Thực hiện nghĩa vụ hợp đồng

Khi một cá nhân giao kết hợp đồng với một tổ chức, và việc công khai một số thông tin là điều kiện bắt buộc để thực hiện các điều khoản trong hợp đồng đó, thì việc công khai được coi là hợp lệ. Ví dụ, một người tham gia một giải đấu thể thao chuyên nghiệp thường có điều khoản đồng ý công khai kết quả thi đấu, hình ảnh và hồ sơ thành tích trên các trang tin chính thức của ban tổ chức.

Tuy nhiên, giới hạn của trường hợp này nằm ở chữ "cần thiết". Việc xử lý dữ liệu phải liên quan trực tiếp đến việc thực hiện nghĩa vụ hợp đồng. Nếu một trang thương mại điện tử sử dụng thông tin khách hàng để công khai danh sách "khách hàng tiêu biểu" nhằm quảng cáo cho bên thứ ba mà điều này không phải là một phần thiết yếu của dịch vụ cung cấp, thì căn cứ thực hiện hợp đồng sẽ không được chấp nhận.

3. Hình thức và yêu cầu về tính chính xác của dữ liệu công khai

Quy trình công khai dữ liệu đòi hỏi sự chuẩn mực không chỉ ở căn cứ pháp lý mà còn ở hình thức thể hiện và độ tin cậy của thông tin. Khoản 3 và 4 Điều 16 Luật 2025 đã quy định rõ về các phương tiện và chất lượng dữ liệu.

3.1. Các phương tiện công khai dữ liệu

Tùy vào mục đích và đối tượng tiếp cận, dữ liệu có thể được công khai qua các kênh sau :

• Cổng thông tin điện tử/Trang thông tin điện tử: Hình thức phổ biến nhất hiện nay, cho phép lưu trữ lâu dài và tra cứu dễ dàng. Đơn vị chủ quản phải đảm bảo các biện pháp an ninh mạng để bảo vệ dữ liệu trên các nền tảng này.
• Phương tiện thông tin đại chúng: Báo in, báo điện tử, đài truyền hình và đài phát thanh. Đây là kênh có tác động xã hội mạnh mẽ, thường dùng cho các thông báo quan trọng của nhà nước hoặc doanh nghiệp.
• Các hình thức niêm yết khác: Niêm yết tại trụ sở, khu dân cư hoặc thông qua các ứng dụng di động chính thức của cơ quan chức năng.

Việc lựa chọn phương tiện công khai phải đảm bảo tính tiếp cận thuận tiện cho các bên có quyền lợi liên quan, đồng thời hạn chế việc dữ liệu bị các công cụ tự động khai thác trái phép cho mục đích xấu.

3.2. Yêu cầu về tính chính xác và nguồn dữ liệu gốc

Dữ liệu khi đưa ra công chúng phải tuyệt đối chính xác và phản ánh đúng trạng thái thực tế từ nguồn dữ liệu gốc. Một sai sót nhỏ về con số hoặc tên tuổi cũng có thể dẫn đến những hiểu lầm tai hại, làm hoen ố uy tín của cá nhân hoặc gây ra các rắc rối pháp lý kéo dài.

Tính chính xác còn bao hàm cả nghĩa vụ cập nhật. Nếu thông tin cá nhân có sự thay đổi (ví dụ: một người đã được xóa án tích hoặc đã hoàn thành nghĩa vụ tài chính), đơn vị đã công khai thông tin trước đó phải có trách nhiệm cập nhật hoặc gỡ bỏ thông tin cũ. Việc duy trì dữ liệu sai lệch trên môi trường công khai, sau khi đã được thông báo về sự thay đổi, là một hành vi vi phạm nghĩa vụ bảo vệ dữ liệu.

4. Nghĩa vụ kiểm soát và giám sát sau khi công khai

Một sai lầm phổ biến của các tổ chức là cho rằng trách nhiệm bảo vệ dữ liệu chấm dứt ngay sau khi thông tin được đăng tải công khai. Trái lại, Khoản 5 Điều 16 Luật 2025 nhấn mạnh nghĩa vụ giám sát liên tục của đơn vị thực hiện công khai.

Đơn vị công khai phải thực hiện các biện pháp kỹ thuật và quản lý để bảo vệ dữ liệu khỏi các nguy cơ :

• Truy cập và thu thập trái phép: Sử dụng các công nghệ như tường lửa, chống scraping để ngăn chặn việc thu thập dữ liệu hàng loạt nhằm mục đích mua bán hoặc spam.
• Chỉnh sửa và hủy hoại: Đảm bảo tính toàn vẹn của dữ liệu trên trang web, tránh việc bị tin tặc tấn công làm thay đổi nội dung (ví dụ: sửa điểm thi, thay đổi kết quả trúng tuyển).
• Tiết lộ và sao chép sai mục đích: Giám sát các luồng dữ liệu thoát ra từ hệ thống để kịp thời phát hiện các hành vi lợi dụng dữ liệu đã công khai cho những mục đích không nằm trong thông báo ban đầu.

Cơ quan, tổ chức công khai dữ liệu phải có khả năng giải trình về toàn bộ vòng đời của việc công khai dữ liệu. Điều này bao gồm việc lưu trữ bằng chứng về sự đồng ý, hồ sơ đánh giá tác động và nhật ký hệ thống về việc giám sát dữ liệu. Khi có sự cố an ninh xảy ra đối với dữ liệu đã công khai, đơn vị phải thông báo ngay cho cơ quan chuyên trách và chủ thể dữ liệu để giảm thiểu thiệt hại.

Trong kỷ nguyên AI và Big Data, việc dữ liệu bị "quét" từ các trang công khai để tạo lập các hồ sơ cá nhân giả mạo là rất phổ biến. Đơn vị công khai không thể kiểm soát hoàn toàn internet, nhưng phải chứng minh được họ đã áp dụng mọi biện pháp "trong khả năng và điều kiện của mình" để bảo vệ dữ liệu đó.

Kết luận

Việc dữ liệu cá nhân được công khai không có nghĩa là quyền được bảo vệ của chủ thể đối với dữ liệu đó chấm dứt. Ngược lại, tính chất "công khai" chỉ thay đổi phương thức tiếp cận thông tin chứ không làm thay đổi bản chất tôn trọng quyền riêng tư. Dù dữ liệu được công khai trên cơ sở sự đồng ý tự nguyện của cá nhân hay theo các quyết định hành chính, tư pháp vì lợi ích chung, thì việc xử lý dữ liệu sau công khai vẫn phải tuân thủ nghiêm ngặt nguyên tắc mục đích. Bất kỳ hành vi lợi dụng dữ liệu công khai để trục lợi, xúc phạm danh dự hay gây thiệt hại cho chủ thể đều phải đối mặt với những chế tài nghiêm khắc của pháp luật.

Trong kỷ nguyên số, khi ranh giới giữa không gian thực và không gian ảo ngày càng mờ nhạt, quy định về việc công khai dữ liệu cá nhân chính là sự cân bằng tinh tế giữa quyền cá nhân và quyền của cộng đồng. Một hệ thống pháp luật tiên tiến là hệ thống biết bảo vệ bí mật khi cần thiết, nhưng cũng biết minh bạch hóa thông tin đúng lúc để thúc đẩy sự phát triển bền vững và công bằng xã hội. Đối với các tổ chức và cá nhân, việc thấu hiểu các điều kiện công khai dữ liệu chính là cách thức tốt nhất để hành xử văn minh và thượng tôn pháp luật, góp phần xây dựng một môi trường dữ liệu an toàn, minh bạch, nơi mà sự công khai luôn đi kèm với trách nhiệm và sự tử tế.

Mọi vướng mắc pháp lý vui lòng liên hệ Luật sư tư vấn pháp luật trực tuyến qua điện thoại gọi: 1900.6162 để được đội ngũ luật sư giàu kinh nghiệm của Công ty luật Minh Khuê tư vấn, giải đáp chi tiết.Chúng tôi rất hân hạnh khi nhận được sự hợp tác của quý khách hàng. Xin chân thành cảm ơn!