Trong kỷ nguyên số, dữ liệu cá nhân chính là "bản sao điện tử" phản chiếu danh tính, uy tín và các quyền lợi hợp pháp của mỗi cá nhân trên không gian mạng. Một sai sót nhỏ trong dữ liệu — từ thông tin định danh, tình trạng tài chính đến hồ sơ sức khỏe — đều có thể dẫn đến những hệ lụy nghiêm trọng, trực tiếp xâm phạm đến quyền lợi và danh dự của chủ thể dữ liệu. Chính vì vậy, câu hỏi "Ai có quyền chỉnh sửa dữ liệu cá nhân?" không chỉ mang tính kỹ thuật vận hành mà còn là một vấn đề pháp lý cốt lõi về quyền tự trị thông tin.

Pháp luật Việt Nam đã xác lập một cơ chế phân quyền chặt chẽ, trong đó khẳng định chủ thể dữ liệu là trung tâm của mọi hoạt động xử lý thông tin. Quyền chỉnh sửa dữ liệu được thiết kế như một công cụ bảo vệ chủ động, cho phép cá nhân yêu cầu các tổ chức, doanh nghiệp phải điều chỉnh, cập nhật hoặc hoàn thiện thông tin của mình để đảm bảo tính chính xác và trung thực. Việc minh định chủ thể có thẩm quyền chỉnh sửa, cùng với trình tự phối hợp giữa Bên kiểm soát dữ liệu và Chủ thể dữ liệu, chính là nền tảng để xây dựng một cơ sở dữ liệu quốc gia và tư nhân minh bạch, tin cậy. 

1. Quyền tự chỉnh sửa và quyền yêu cầu trong kỷ nguyên quản trị số

Quyền chỉnh sửa dữ liệu cá nhân theo Khoản 1 Điều 13 Luật Bảo vệ dữ liệu cá nhân 2025 (Luật 2025) được xây dựng dựa trên triết lý trao quyền kiểm soát cho cá nhân đối với thông tin phản ánh về chính mình. Cơ chế này được vận hành thông qua hai phương thức chủ đạo: khả năng tự tác động trực tiếp vào hệ thống (tự chỉnh sửa) và quyền năng pháp lý buộc bên kiểm soát phải thực hiện thay đổi (yêu cầu chỉnh sửa).

1.1. Cơ chế tự chỉnh sửa dựa trên thỏa thuận và hạ tầng kỹ thuật

Cơ chế "tự chỉnh sửa" đại diện cho xu hướng phi tập trung hóa trong quản lý dữ liệu. Theo quy định tại Luật 2025, chủ thể dữ liệu được phép tự mình thực hiện việc chỉnh sửa dữ liệu đối với một số loại thông tin nhất định. Việc thực hiện này không diễn ra một cách tùy tiện mà phải dựa trên thỏa thuận cụ thể giữa chủ thể dữ liệu với Bên Kiểm soát dữ liệu hoặc Bên Kiểm soát và xử lý dữ liệu.

Các hệ thống hiện đại như ngân hàng số, nền tảng thương mại điện tử hoặc các ứng dụng dịch vụ công (VNeID) thường tích hợp các giao diện quản lý tài khoản cho phép người dùng tự cập nhật số điện thoại, địa chỉ liên hệ hoặc thay đổi mật khẩu. Ý nghĩa của việc tự chỉnh sửa nằm ở tính kịp thời; nó cho phép dữ liệu được cập nhật ngay lập tức mà không cần qua quy trình phê duyệt thủ công, từ đó giảm thiểu sai sót trong các quyết định tự động của hệ thống.

Tuy nhiên, phạm vi tự chỉnh sửa thường bị giới hạn đối với dữ liệu cá nhân cơ bản. Đối với các dữ liệu cá nhân nhạy cảm hoặc dữ liệu có giá trị pháp lý cao (như số định danh cá nhân, dữ liệu tội phạm, thông tin sức khỏe trong hồ sơ bệnh án), cơ chế tự chỉnh sửa thường bị vô hiệu hóa để đảm bảo tính xác thực và ngăn chặn hành vi giả mạo thông tin.

1.2. Cơ chế yêu cầu chỉnh sửa và quyền năng pháp lý của chủ thể

Khi không thể tự thực hiện thông qua giao diện hệ thống, cá nhân có quyền yêu cầu Bên Kiểm soát dữ liệu thực hiện việc chỉnh sửa. Đây là một quyền năng pháp lý bắt buộc mà tổ chức xử lý dữ liệu không được phép khước từ nếu không có lý do chính đáng.

Yêu cầu chỉnh sửa thường được kích hoạt trong hai tình huống: một là khi cá nhân phát hiện dữ liệu của mình bị sai lệch, thiếu sót hoặc lỗi thời; hai là khi mục đích xử lý dữ liệu thay đổi dẫn đến nhu cầu phải bổ sung thông tin cho phù hợp. Quyền yêu cầu này đóng vai trò là "chốt chặn" an toàn, đảm bảo rằng ngay cả khi hệ thống kỹ thuật gặp lỗi hoặc không hỗ trợ tự phục vụ, quyền lợi của chủ thể vẫn được bảo vệ thông qua các kênh tiếp nhận chính thức.

Theo các quy định mới nhất năm 2025-2026, yêu cầu này phải được thực hiện bằng văn bản, bao gồm cả các định dạng điện tử có thể kiểm chứng được. Việc quy định định dạng "có thể kiểm chứng" là một bước tiến quan trọng, nhằm tạo ra bằng chứng pháp lý phục vụ cho việc giải quyết tranh chấp hoặc thanh tra của cơ quan chuyên trách (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao - A05) sau này.

Phương thức Đặc điểm vận hành Phạm vi áp dụng phổ biến
Tự chỉnh sửa Trực tiếp trên giao diện, dựa trên thỏa thuận trước.

Dữ liệu cơ bản, thông tin liên lạc, tùy chọn tiếp thị.

Yêu cầu chỉnh sửa Thông qua phiếu yêu cầu/văn bản, cần sự xác minh của tổ chức.

Dữ liệu định danh, dữ liệu nhạy cảm, thông tin có tính pháp lý cao.

2. Trách nhiệm của bên kiểm soát và bên xử lý dữ liệu

Trong mối quan hệ xử lý dữ liệu, Bên Kiểm soát dữ liệu là đơn vị giữ vai trò quyết định và chịu trách nhiệm cao nhất. Khi một yêu cầu chỉnh sửa được gửi đến, trách nhiệm của tổ chức không chỉ dừng lại ở việc sửa một dòng thông tin trong cơ sở dữ liệu nội bộ mà còn phải đảm bảo tính toàn vẹn và đồng bộ trên toàn bộ chuỗi cung ứng dữ liệu.

2.1. Nghĩa vụ xác minh và thực hiện chỉnh sửa trong nội bộ

Trách nhiệm đầu tiên của Bên Kiểm soát khi nhận được yêu cầu là xác thực danh tính của chủ thể dữ liệu. Trong bối cảnh tội phạm mạng thường xuyên lợi dụng việc giả mạo yêu cầu thay đổi thông tin để chiếm quyền điều khiển tài khoản, việc xác minh trở thành một rào cản bảo mật thiết yếu. Sau khi xác định đúng chủ thể, đơn vị phải kiểm tra tính xác thực của dữ liệu được yêu cầu chỉnh sửa so với các bằng chứng đi kèm.

Luật 2025 đều nhấn mạnh rằng dữ liệu phải được cập nhật phù hợp với mục đích xử lý. Do đó, Bên Kiểm soát phải đảm bảo rằng thao tác chỉnh sửa không làm thay đổi bản chất của mục đích đã được chủ thể đồng ý trước đó. Nếu việc chỉnh sửa dẫn đến thay đổi mục đích xử lý, đơn vị phải thực hiện lại quy trình thông báo và xin sự đồng ý mới.

2.2. Cơ chế đồng bộ với bên xử lý dữ liệu và bên thứ ba

Dữ liệu cá nhân trong môi trường số hiện đại thường được lưu trữ phân tán qua nhiều tầng: từ máy chủ của doanh nghiệp đến các nhà cung cấp dịch vụ đám mây, các đối tác xử lý dữ liệu thuê ngoài, và thậm chí là các bên thứ ba nhận dữ liệu thông qua các thỏa thuận chia sẻ.

Nghĩa vụ của Bên Kiểm soát là phải yêu cầu các Bên xử lý dữ liệu và Bên thứ ba cùng thực hiện việc chỉnh sửa để đảm bảo tính đồng bộ. Nếu Bên Kiểm soát thực hiện chỉnh sửa nhưng không thông báo cho Bên Xử lý, dẫn đến việc Bên Xử lý tiếp tục sử dụng dữ liệu sai lệch để cung cấp dịch vụ cho chủ thể, thì Bên Kiểm soát sẽ phải chịu trách nhiệm về hậu quả phát sinh.

Đối với Bên Xử lý dữ liệu, họ không có quyền tự ý thay đổi dữ liệu của chủ thể trừ khi có chỉ thị bằng văn bản từ Bên Kiểm soát. Sự phân định trách nhiệm này giúp duy trì một "chuỗi quyền lực" rõ ràng, tránh tình trạng dữ liệu bị xáo trộn hoặc chỉnh sửa trái phép tại các mắt xích trung gian.

2.3. Trách nhiệm báo cáo và lưu trữ bằng chứng tuân thủ

Từ năm 2025, các tổ chức không chỉ cần thực hiện chỉnh sửa mà còn phải có khả năng giải trình. Mọi thay đổi trong dữ liệu cá nhân phải được ghi nhật ký và lưu trữ trong một thời hạn nhất định (thường là 5 năm đối với các hồ sơ vi phạm hoặc thay đổi quan trọng). Các bằng chứng về việc đã thông báo và đồng bộ dữ liệu với bên thứ ba cũng phải được lưu giữ để phục vụ công tác thanh tra của Bộ Công an.

Việc không thực hiện nghĩa vụ đồng bộ hoặc chậm trễ trong việc phản hồi yêu cầu của chủ thể có thể dẫn đến các chế tài nghiêm khắc, bao gồm cả việc đình chỉ hoạt động xử lý dữ liệu hoặc thu hồi giấy phép liên quan.

3. Nguyên tắc chính xác và giới hạn của quyền chỉnh sửa

Quyền chỉnh sửa dữ liệu không phải là một đặc quyền tuyệt đối mà được đặt trong khuôn khổ của các nguyên tắc pháp lý về tính chính xác và các giới hạn nhằm bảo đảm an ninh, trật tự xã hội.

Nguyên tắc cốt lõi trong bảo vệ dữ liệu là thông tin phải phản ánh đúng thực tế của chủ thể dữ liệu. Sự "chính xác" ở đây mang hai tầng nghĩa:

  • Tính thực tế: Dữ liệu phải khớp với các giấy tờ định danh và hiện trạng thực tế của cá nhân (ví dụ: họ tên, địa chỉ thường trú hiện tại).
  • Tính mục đích: Dữ liệu được chỉnh sửa phải đảm bảo không vượt quá phạm vi cần thiết để đạt được mục đích đã thỏa thuận.

Chủ thể dữ liệu có trách nhiệm về tính chính xác của dữ liệu do mình cung cấp. Nếu cá nhân cố tình yêu cầu chỉnh sửa thông tin thành sai sự thật nhằm mục đích trục lợi hoặc che giấu các hành vi vi phạm pháp luật, yêu cầu đó sẽ bị coi là vi phạm nguyên tắc trung thực và có thể bị từ chối.

Theo Điều 14 Luật Bảo vệ dữ liệu cá nhân 2025, Bên Kiểm soát dữ liệu có quyền từ chối yêu cầu chỉnh sửa trong một số trường hợp cụ thể có "lý do chính đáng". Các kịch bản từ chối phổ biến bao gồm:

  • Tuân thủ quy định pháp luật chuyên ngành: Khi dữ liệu cá nhân đang là đối tượng của các cuộc điều tra, truy tố bởi cơ quan nhà nước có thẩm quyền.
  • An ninh quốc gia và trật tự an toàn xã hội: Việc chỉnh sửa dữ liệu có thể gây cản trở các hoạt động bảo vệ an ninh quốc gia hoặc gây nhầm lẫn trong công tác quản lý trật tự xã hội.
  • Hết thời hạn lưu trữ hoặc đã bị xóa: Nếu dữ liệu đã được xóa hợp lệ theo yêu cầu trước đó hoặc đã hoàn thành mục đích xử lý, yêu cầu chỉnh sửa sẽ không còn đối tượng để thực hiện.
  • Vi phạm quyền của bên thứ ba: Việc chỉnh sửa dữ liệu của chủ thể yêu cầu nhưng lại làm lộ hoặc ảnh hưởng trực tiếp đến dữ liệu cá nhân của người khác mà không có sự đồng ý của họ.

Pháp luật Việt Nam không cho phép sự im lặng từ phía tổ chức xử lý dữ liệu. Trong trường hợp không thể thực hiện việc chỉnh sửa, Bên Kiểm soát dữ liệu phải đưa ra thông báo chính thức cho người yêu cầu. Nội dung thông báo phải nêu rõ lý do từ chối và căn cứ pháp lý áp dụng. Điều này giúp chủ thể dữ liệu có thể thực hiện quyền khiếu nại hoặc khởi kiện nếu họ cho rằng việc từ chối đó là không có cơ sở.

4. Quy trình thực hiện quyền chỉnh sửa dữ liệu cá nhân trên thực tế

Lộ trình thực thi Luật Bảo vệ dữ liệu cá nhân 2025 đã thiết lập một quy trình thực hành chuẩn (SOP) dành cho cả cá nhân và doanh nghiệp, nhằm biến các điều khoản luật định thành các bước vận hành cụ thể. Chủ thể dữ liệu hoặc người đại diện hợp pháp có thể gửi yêu cầu thông qua các kênh tiếp nhận của tổ chức. Từ năm 2025, việc sử dụng các biểu mẫu chuẩn hóa đã trở nên phổ biến để đảm bảo tính đầy đủ của hồ sơ.

Một hồ sơ yêu cầu chỉnh sửa hợp lệ thường bao gồm các thành phần:

  • Thông tin định danh: Họ tên, ngày sinh, số CCCD/Hộ chiếu của chủ thể.
  • Thông tin người đại diện (nếu có): Kèm theo giấy tờ chứng minh quyền đại diện.
  • Nội dung yêu cầu: Mô tả chi tiết dữ liệu cũ và dữ liệu mới cần cập nhật.
  • Tài liệu chứng minh: Các bằng chứng chứng minh tính chính xác của thông tin mới (như bản sao công chứng giấy khai sinh, giấy chứng nhận đăng ký kinh doanh...).

Mẫu văn bản yêu cầu (như Mẫu số 10 ban hành kèm Nghị định 356/2025/NĐ-CP) hiện có thể được tải xuống từ Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân hoặc các cổng dịch vụ công. Sự thay đổi lớn nhất trong năm 2025 là việc tách bạch quy trình thành hai giai đoạn: Phản hồi và Thực hiện, nhằm khắc phục sự cứng nhắc của mốc 72 giờ trong các quy định trước đây.

Giai đoạn Thời hạn (Ngày làm việc) Nội dung công việc
Xác nhận & Phản hồi 02 ngày

Xác nhận nhận yêu cầu, thông báo về tính hợp lệ và quy trình xử lý.

Thực hiện chỉnh sửa 10 ngày

Tiến hành thay đổi dữ liệu trên các hệ thống nội bộ của Bên Kiểm soát.

Đồng bộ bên thứ ba 15 - 20 ngày

Thông báo và yêu cầu các đối tác, bên xử lý thuê ngoài cùng cập nhật.

Gia hạn (nếu có) Tối đa 10 ngày

Áp dụng cho các trường hợp phức tạp, phải thông báo lý do gia hạn cho chủ thể.

Việc nới lỏng thời hạn thực hiện đối với các trường hợp có sự tham gia của bên thứ ba (lên đến 20 ngày) là một sự điều chỉnh thực tế, cho phép các doanh nghiệp có đủ thời gian để phối hợp kỹ thuật qua các hệ thống API hoặc chuyển dữ liệu xuyên biên giới mà vẫn bảo đảm tính chính xác.

5. Ý nghĩa của việc chỉnh sửa dữ liệu trong kỷ nguyên số

Quyền chỉnh sửa không chỉ là một quyền độc lập mà còn là "cầu nối" đến các quyền khác trong hệ sinh thái bảo vệ dữ liệu, đồng thời là căn cứ để xác định trách nhiệm dân sự trong các vụ việc tranh chấp.

Trong nhiều tình huống, chỉnh sửa dữ liệu là một lựa chọn thay thế tích cực cho việc xóa dữ liệu. Nếu dữ liệu có thể được cập nhật để trở nên chính xác và tiếp tục phục vụ lợi ích của chủ thể (ví dụ: cập nhật địa chỉ để nhận thư từ quan trọng), thì việc chỉnh sửa sẽ được ưu tiên hơn. Tuy nhiên, nếu việc chỉnh sửa không thể thực hiện được hoặc dữ liệu sai lệch đã gây ra sự kỳ thị, cá nhân có quyền tiến tới yêu cầu xóa dữ liệu (Quyền được quên) hoặc phản đối tiếp tục xử lý dữ liệu đó.

Luật 2025 quy định rõ việc xóa dữ liệu phải được thực hiện khi hết thời hạn lưu trữ hoặc khi mục đích xử lý đã hoàn thành. Việc duy trì dữ liệu sai lệch không chỉ vi phạm quyền chỉnh sửa mà còn vi phạm nguyên tắc lưu trữ, buộc doanh nghiệp phải xóa bỏ nếu không thể cập nhật đúng.

Sự sai lệch thông tin cá nhân trong kỷ nguyên AI và Big Data có thể dẫn đến những hậu quả khốc liệt, từ việc bị từ chối bảo hiểm đến việc bị đánh giá sai về năng lực tài chính hoặc nhân thân.

Trách nhiệm bồi thường thiệt hại được xác định theo quy định của Bộ luật Dân sự 2015 và các điều khoản chuyên biệt trong Luật Bảo vệ dữ liệu cá nhân 2025.

  • Thiệt hại vật chất: Bao gồm các tổn thất tài sản thực tế, thu nhập bị giảm sút và các chi phí hợp lý để ngăn chặn, khắc phục thiệt hại do dữ liệu sai gây ra.
  • Thiệt hại về tinh thần: Việc bị quấy rối, xúc phạm danh dự do thông tin sai sự thật lan truyền buộc bên vi phạm phải bồi thường một khoản tiền bù đắp tổn thất tinh thần (tối đa không quá 10 lần mức lương cơ sở nếu không có thỏa thuận khác).

Bên Kiểm soát dữ liệu là người chịu trách nhiệm trực tiếp và cuối cùng trước chủ thể dữ liệu. Ngay cả khi dữ liệu bị sai là do lỗi của Bên Xử lý (như sai sót trong thuật toán của một công ty fintech thuê ngoài), chủ thể vẫn có quyền yêu cầu ngân hàng (Bên Kiểm soát) bồi thường, sau đó ngân hàng mới thực hiện quyền truy đòi đối với công ty fintech theo hợp đồng kinh tế giữa hai bên.

Từ năm 2026, các hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân, bao gồm việc cản trở chủ thể thực hiện quyền chỉnh sửa hoặc để lộ lọt dữ liệu do thông tin không chính xác, sẽ bị xử phạt rất nặng.

  • Phạt tiền theo doanh thu: Mức phạt tối đa có thể lên tới 5% doanh thu năm liền kề đối với các tổ chức có hành vi vi phạm nghiêm trọng (như cố tình làm sai lệch dữ liệu để chống lại Nhà nước hoặc gây ảnh hưởng an ninh quốc gia).
  • Xử lý hình sự: Đối với các hành vi thu thập, mua bán dữ liệu cá nhân sai lệch với quy mô lớn hoặc gây hậu quả đặc biệt nghiêm trọng, người vi phạm có thể bị truy cứu trách nhiệm hình sự.

Kết luận

Quyền chỉnh sửa dữ liệu cá nhân là một bộ phận không thể tách rời của quyền riêng tư, đóng vai trò là "chốt chặn" bảo đảm sự tương xứng giữa dữ liệu ảo và thực thể con người trong đời thực. Thẩm quyền này không chỉ thuộc về sự chủ động của chính chủ thể dữ liệu mà còn gắn liền với trách nhiệm soát xét, cập nhật của các Bên kiểm soát và xử lý dữ liệu. Một hệ thống pháp lý hoàn chỉnh về quyền chỉnh sửa đã tạo ra cơ chế giám sát hai chiều: cá nhân có quyền yêu cầu sự chính xác, trong khi tổ chức có nghĩa vụ duy trì tính toàn vẹn của dữ liệu mà mình khai thác.

Trong bối cảnh trí tuệ nhân tạo (AI) và các hệ thống chấm điểm tín nhiệm cá nhân đang dần chi phối các quyết định xã hội, việc đảm bảo dữ liệu "đúng và đủ" trở thành yêu cầu sống còn. Nếu dữ liệu sai lệch không được chỉnh sửa kịp thời, nó sẽ tạo ra những "định kiến số" gây bất công cho cá nhân và rủi ro cho quản trị xã hội. Do đó, việc thực thi quyền chỉnh sửa dữ liệu cần được nhìn nhận dưới góc độ đạo đức dữ liệu và trách nhiệm giải trình. Khi các cơ quan quản lý nhà nước và doanh nghiệp cùng hiệp lực để đơn giản hóa thủ tục, tăng cường tính minh bạch trong việc phản hồi yêu cầu điều chỉnh thông tin, chúng ta mới có thể tạo dựng được một xã hội số văn minh — nơi mà thông tin cá nhân không chỉ được bảo mật, mà còn luôn phản ánh đúng đắn nhất giá trị của con người.

Mọi vướng mắc pháp lý vui lòng liên hệ Luật sư tư vấn pháp luật trực tuyến qua điện thoại gọi: 1900.6162 để được đội ngũ luật sư giàu kinh nghiệm của Công ty luật Minh Khuê tư vấn, giải đáp chi tiết.Chúng tôi rất hân hạnh khi nhận được sự hợp tác của quý khách hàng. Xin chân thành cảm ơn!