Từ 01/01/2026: Dữ liệu cá nhân sau khi được khử nhận dạng có thể được mua bán?

Bàn luận pháp luật

Từ 01/01/2026: Dữ liệu cá nhân sau khi được khử nhận dạng có thể được mua bán?

LexNovum Lawyers

LexNovum Lawyers

15/09/2025

Từ 2026, tại Việt Nam, lần đầu tiên pháp luật bảo vệ dữ liệu cá nhân (“DLCN”) ghi nhận khái niệm “khử nhận dạng DLCN”. Theo Luật Bảo vệ DLCN, DLCN sau khi khử nhận dạng sẽ không còn là DLCN (Điều 2.1 Luật Bảo vệ DLCN). Đây là một điểm mới nổi bật của Luật Bảo vệ DLCN so với Nghị định 13/2023/NĐ-CP không chỉ về mặt thuật ngữ mà còn dẫn tới các hệ quả pháp lý quan trọng khác, đồng thời, mở ra cơ hội khai thác, trao đổi dữ liệu an toàn phục vụ nghiên cứu, phát triển khởi nghiệp và đổi mới sáng tạo.

Vậy, (i) Khử nhận dạng DLCN là gì? Cơ chế kiểm soát hoạt động khử nhận dạng DLCN được tiến hành như thế nào? và (ii) Việc khử nhận dạng DLCN sẽ dẫn đến những hệ quả nào theo pháp luật Việt Nam? Trong bài viết dưới đây, LexNovum Lawyers (“LNV”) sẽ từng bước phân tích và giải đáp các câu hỏi trên thông qua các Mục 1 và 2 của bài viết này.

Về phương pháp đánh giá, nhằm mang đến cho Quý Khách hàng góc nhìn đa chiều và nguồn tham chiếu hữu ích để chủ động dự liệu phương án triển khai thực tiễn, LNV sẽ phân tích, so sánh các khía cạnh pháp luật Việt Nam còn chưa quy định chi tiết với General Data Protection Regulation (tạm dịch: Quy định chung về bảo vệ dữ liệu) của Liên minh Châu Âu (“GDPR”) – một trong những hệ thống pháp lý tiên tiến nhất trên thế giới về bảo vệ DLCN.

1. Khái niệm và cơ chế thực hiện khử nhận dạng DLCN

Theo Điều 2.11 Luật Bảo vệ DLCN: “khử nhận dạng DLCN là quá trình thay đổi hoặc xóa thông tin để tạo ra dữ liệu mới không thể xác định hoặc không thể giúp xác định được một con người cụ thể”.

Như vậy, về mặt khái niệm, Luật Bảo vệ DLCN quy định khử nhận dạng DLCN là quá trình làm mất khả năng định danh cá nhân của dữ liệu, giúp loại bỏ tính “cá nhân hóa” vốn đã gắn liền với thông tin của chủ thể ban đầu.

Xét trên phương diện kỹ thuật, doanh nghiệp có thể áp dụng nhiều biện pháp công nghệ khác nhau nhằm thay đổi hoặc xóa bỏ thông tin gốc để tạo ra dạng dữ liệu mới, song, cần phải đáp ứng các cơ chế được quy định tại Điều 14.6 Luật Bảo vệ DLCN, cụ thể:

  • Cơ quan, tổ chức, cá nhân khử nhận dạng DLCN có trách nhiệm kiểm soát và giám sát chặt chẽ quá trình khử nhận dạng DLCN; ngăn chặn việc truy cập trái phép, sao chép, chiếm đoạt, làm lộ, làm mất DLCN trong quá trình khử nhận dạng;
  • Không được tái nhận dạng DLCN sau khi đã được khử nhận dạng, trừ trường hợp pháp luật có quy định khác;
  • Việc khử nhận dạng DLCN tuân thủ quy định của Luật Bảo vệ DLCN và quy định khác của pháp luật có liên quan.

Tóm lại, khử nhận dạng DLCN là biện pháp kỹ thuật nhằm thay đổi hoặc xóa bỏ hoàn toàn các thông tin giúp định danh một con người. Trong quá trình triển khai, doanh nghiệp cần tuân thủ nghiêm ngặt các cơ chế kiểm soát nêu trên, đặc biệt là cơ chế không được tái nhận dạng DLCN sau khi khử nhận dạng, trừ trường hợp pháp luật có quy định khác.

2. Hệ quả của hoạt động khử nhận dạng DLCN

Như đã phân tích ở trên, sau khi áp dụng các biện pháp khử nhận dạng, DLCN sẽ trở thành một dạng dữ liệu mới. Theo đó, dữ liệu này được phân loại thành các loại dữ liệu khác như dữ liệu dùng chung, dữ liệu dùng riêng, dữ liệu mở, dữ liệu quan trọng và dữ liệu cốt lõi được quy định và điều chỉnh theo Luật Dữ liệu 2024. Trên cơ sở đó, Điều 42.1 Luật Dữ liệu 2024 cho phép dữ liệu cùng các sản phẩm, dịch vụ liên quan đến dữ liệu sẽ được giao dịch, trao đổi trên sàn giao dịch dữ liệu do Trung tâm dữ liệu quốc gia thuộc Bộ Công an quản lý nhằm mục đích phục vụ nghiên cứu, phát triển khởi nghiệp, đổi mới sáng tạo.

Ví dụ, với dữ liệu cá nhân là Nguyễn Văn A, sinh ngày 01/01/1990, có CCCD số 1234567 và có nhóm máu B, sau khi khử nhận dạng, dữ liệu còn lại chỉ là “Nguyễn Văn A, nhóm máu B” hoặc “nam, 35 tuổi, nhóm máu B” thì những dữ liệu này không còn giúp xác định được một anh Nguyễn Văn A cụ thể nào nữa. Theo đó, dữ liệu đủ điều kiện để được xem là “không thể xác định hoặc không thể giúp xác định được một con người cụ thể” và có thể được dùng để trao đổi trên sàn nhằm phục vụ các hoạt động nghiên cứu (ví dụ trong lĩnh vực y học) mà không bị xem là xâm phạm quyền riêng tư của chủ thể dữ liệu.  

Tuy nhiên, Quý Khách hàng cần lưu ý rằng không phải dữ liệu nào cũng được phép giao dịch trên sàn dữ liệu. Cụ thể, Điều 42.3 Luật Dữ liệu 2024 và Điều 33.6 Nghị định 169/2025/NĐ-CP quy định các loại dữ liệu không được phép giao dịch gồm:

  • Dữ liệu cốt lõi: là dữ liệu quan trọng trực tiếp tác động đến quốc phòng, an ninh, đối ngoại, kinh tế vĩ mô, ổn định xã hội, sức khỏe và an toàn cộng đồng thuộc danh mục do Thủ tướng Chính phủ ban hành[1];
  • Dữ liệu quan trọng: là dữ liệu có thể tác động đến quốc phòng, an ninh, đối ngoại, kinh tế vĩ mô, ổn định xã hội, sức khỏe và an toàn cộng đồng thuộc danh mục do Thủ tướng Chính phủ ban hành[2];
  • Dữ liệu không được chủ thể dữ liệu đồng ý, trừ trường hợp pháp luật có quy định khác;
  • Dữ liệu khác bị cấm giao dịch theo quy định của pháp luật.

Như vậy, câu chuyện “khử nhận dạng dữ liệu” sẽ còn tiếp tục được bàn luận trong thời gian tới, sau khi Nhà nước tiếp tục công bố các hướng dẫn, quy định chi tiết trong tương lai. Song, với những nội dung hiện nay, có thể khẳng định rằng quy định về khử nhận dạng DLCN không chỉ mở ra một cánh cửa mới, góp phần thúc đẩy hoạt động nghiên cứu, phát triển khởi nghiệp và đổi mới sáng tạo, mà còn là công cụ quan trọng giúp cân bằng giữa bảo vệ quyền riêng tư và khai thác giá trị thương mại của dữ liệu trong nền kinh tế số.

3. Bàn luận về khử nhận dạng DLCN theo GDPR

Với mong muốn mang đến cho Quý Khách hàng thêm một góc nhìn về “khử nhận dạng DLCN”, LNV sẽ tham chiếu quy định của GDPR để làm rõ hơn về chi tiết này.

Dựa vào quy định trên, có thể hiểu dữ liệu ẩn danh là dữ liệu đã được xử lý sao cho không còn gắn liền hoặc xác định/giúp xác định một cá nhân cụ thể; đồng nghĩa, chủ thể dữ liệu không còn hoặc không thể bị nhận dạng từ dữ liệu này. Theo đó, các quy định về bảo vệ DLCN sẽ không áp dụng với “dữ liệu ẩn danh” (anonymous information). Qua phân tích, LNV nhận thấy rằng khái niệm về “khử nhận dạng” của Luật Bảo vệ DLCN và “ẩn danh” của GDPR có nét tương đồng. Do đó, LNV sẽ phân tích các tiêu chí của GDPR để dữ liệu được xác định là “ẩn danh”.  

Theo hướng dẫn của Ủy ban bảo vệ dữ liệu (“DPC”) [3][4], dữ liệu được coi là ẩn danh khi không thể “identification” (tạm dịch: nhận dạng – dựa vào dữ liệu để truy xuất tên và địa chỉ của một người) mà còn không thể nhận dạng thông qua singling out, linkability and inference (tạm dịch: khả năng phân biệt, liên kết và suy luận), cụ thể:

  • Khả năng phân biệt (Singling out[5]): nghĩa là trong cùng một nhóm dữ liệu, dữ liệu ẩn danh không tách khỏi nhóm dữ liệu còn lại. Khả năng phân biệt của dữ liệu ẩn danh phụ thuộc vào các bối cảnh khác nhau, ví dụ: năm sinh của một đứa trẻ có thể giúp xác định đứa trẻ đó trong gia đình, nhưng không đủ để phân biệt đứa trẻ đó với các bạn cùng lớp có cùng năm sinh. Do đó, để xem xét một dữ liệu ẩn danh có khả năng phân biệt hay không, doanh nghiệp cần đánh giá chi tiết trong từng bối cảnh và phạm vi cụ thể.
  • Khả năng liên kết (Data Linking[6]): dữ liệu ẩn danh không thể bị tái nhận dạng thông qua việc liên kết hoặc đối chiếu từ một hay nhiều nguồn dữ liệu khác nhau. Trên thực tế, chỉ cần một vài thông tin tưởng chừng không nhận dạng được, khi được kết hợp (đặc biệt là đối chiếu với dữ liệu công khai), vẫn có thể dẫn đến việc tái nhận dạng với độ chính xác rất cao. Ví dụ, nếu dựa vào “họ” hoặc “tên”, bên thứ ba không thể xác định một khách hàng trong số rất nhiều khách hàng của một công ty lớn; tuy nhiên, nếu kết hợp 02 loại thông tin trên thì bên thứ ba có thể định danh một cá nhân.
  • Khả năng suy luận (Inference[7]): trong một số trường hợp, bên thứ ba có thể dựa vào mối liên hệ giữa 02 trường dữ liệu khác nhau để xác định một cá nhân cụ thể. Ví dụ, nếu một tập dữ liệu chứa thống kê về mức lương và thâm niên của toàn bộ nhân viên trong công ty, dù dữ liệu này không chỉ rõ lương và thâm niên của từng cá nhân, nhưng bên thứ ba vẫn có thể suy luận mối quan hệ giữa các thông tin, từ đó nhận dạng được một số cá nhân.

Tóm lại, dữ liệu có thể được coi là “ẩn danh” khi không còn có thể nhận dạng được, kể cả khi xét đến mọi phương pháp hợp lý có thể được sử dụng để tái nhận dạng, bao gồm các yếu tố như: chi phí, thời gian, công nghệ hiện có và dự kiến có trong tương lai. Nếu việc tái nhận dạng là bất khả thi thì dữ liệu đó có thể được coi là đã ẩn danh. Đồng thời, dữ liệu chỉ được coi là ẩn danh hoàn toàn nếu ngay cả khi bên kiểm soát dữ liệu lưu trữ dữ liệu gốc, họ cũng không thể tái xác định cá nhân từ dữ liệu đã ẩn danh bằng các phương tiện hợp lý[8].

Như vậy, mặc dù pháp luật Việt Nam chưa quy định về các tiêu chí cụ thể để xác định như thế nào là dữ liệu “không thể xác định hoặc không thể giúp xác định một con người cụ thể” sau khi khử nhận dạng, Quý Khách hàng có thể tham khảo hướng dẫn của DPC nói trên để tham khảo sơ lược các tiêu chí đánh giá mức độ ẩn danh dữ liệu nhằm xây dựng, lựa chọn phương án kỹ thuật phù hợp áp dụng tại cơ sở. Song song đó, cũng cần tiếp tục theo dõi và chờ đợi các hướng dẫn và quy định chính thức từ Chính phủ Việt Nam để đảm bảo sự phù hợp với bối cảnh pháp lý và thực tiễn thi hành.

4. Kết luận

Từ những phân tích trên, chúng ta có thể thấy rằng việc khử nhận dạng DLCN đã mở ra một cầu nối pháp lý mới mẽ giữa hoạt động bảo vệ DLCN và việc tận dụng giá trị thương mại của dữ liệu cho các mục đích nghiên cứu, phát triển khởi nghiệp và đổi mới sáng tạo. Tuy nhiên, nhằm hạn chế nguy cơ tái nhận dạng và lạm dụng quy định về khử nhận dạng dữ liệu trên thực tế, Chính phủ cần sớm ban hành các hướng dẫn chi tiết về i) quy trình khử nhận dạng, ii) tiêu chí xác định như thế nào là không thể giúp xác định hoặc không giúp xác định một con người cụ thể, và iii) cơ chế giám sát việc tuân thủ. Mặt khác, doanh nghiệp cần kịp thời chuẩn bị để đón đầu xu thế về công nghệ khử nhận dạng DLCN, đào tạo nhân sự và tham vấn pháp lý để tuân thủ quy định pháp luật. LNV sẵn sàng hỗ trợ Quý Khách hàng áp dụng hiệu quả các quy định về bảo vệ DLCN, đảm bảo tuân thủ pháp luật và tận dụng cơ hội đổi mới.

Người thực hiện: Cộng sự Quế Trân, Ngọc Mai

Tham vấn: Luật sư Phan Nhi

Lưu ý:

Bài viết này được thực hiện dựa trên quy định của pháp luật Việt Nam (hiện hành) và kinh nghiệm thực tế. Những thông tin tại bài viết này chỉ nên được sử dụng nhằm mục đích tham khảo. Chúng tôi không chịu trách nhiệm hay có nghĩa vụ pháp lý đối với bất kỳ cá nhân, tổ chức nào sử dụng thông tin tại bài viết này ngoài mục đích tham khảo. Trước khi đưa ra bất kỳ sự lựa chọn hoặc quyết định nào, Quý Khách hàng vui lòng tham vấn thêm các khuyến nghị một cách chính thức, hoặc liên hệ LexNovum Lawyers để nhận được sự tư vấn chuyên sâu từ chúng tôi. 

Vui lòng trích dẫn nguồn “LexNovum Lawyers” khi sử dụng hoặc chia sẻ bài viết này tại bất kỳ đâu.

[1] Theo Điều 3.7 Luật Dữ liệu 2024

[2] Theo Điều 3.6 Luật Dữ liệu 2024

[3] Ủy ban Bảo vệ Dữ liệu – Data Protection Commission (DPC) là cơ quan độc lập quốc gia tại Ireland, chịu trách nhiệm bảo vệ quyền cơ bản của cá nhân tại Liên minh Châu Âu (EU) trong việc bảo vệ dữ liệu cá nhân

[4] Guidance Note: Guidance on Anonymisation and Pseudonymisation (tạm dịch: Hướng dẫn về ẩn danh và bí danh) https://www.dataprotection.ie/en/dpc-guidance/anonymisation-pseudonymisation

[5] Trang 6 Hướng dẫn về ẩn danh và bí danh (Guidance Note)

[6] Trang 6 Hướng dẫn về ẩn danh và bí danh (Guidance Note)

[7] Trang 7 Hướng dẫn về ẩn danh và bí danh (Guidance Note)

[8] Trang 7 Hướng dẫn về ẩn danh và bí danh (Guidance Note)

LexNovum Lawyers

LĨNH VỰC HOẠT ĐỘNG

LIÊN KẾT

MẠNG XÃ HỘI

Fanpage