Những điểm mới của pháp luật bảo vệ dữ liệu cá nhân năm 2026 – Phần 2
LexNovum Lawyers
28/01/2026
Như đã đề cập trong bài viết “Những điểm mới của pháp luật bảo vệ dữ liệu cá nhân năm 2026 – Phần 1”, kể từ 2026, hệ thống pháp luật về bảo vệ DLCN tại Việt Nam có sự thay đổi quan trọng. Theo đó, từ 01/01/2026, Nghị định 13/2023/NĐ-CP (“Nghị định 13”) chính thức hết hiệu lực, Luật Bảo vệ dữ liệu cá nhân 2025 (“Luật BVDLCN”) và Nghị định 356/2025/NĐ-CP (“Nghị định 356”) trở thành các văn bản pháp lý điều chỉnh trực tiếp lĩnh vực này.
Nhằm hỗ trợ doanh nghiệp kịp thời cập nhật các thay đổi quan trọng và chủ động xây dựng cơ chế tuân thủ phù hợp, trong bài viết này, LexNovum Lawyers (“LNV”) tiếp tục thống kê và bình luận một số điểm mới đáng chú ý trong các quy định về bảo vệ dữ liệu cá nhân (“DLCN”) được áp dụng từ 2026.
1. Quy định chi tiết hơn về phương thức xin sự đồng ý
Trước 2026, việc thu thập sự đồng ý của chủ dữ liệu chỉ cần đáp ứng nguyên tắc phải được thể hiện ở định dạng “có thể kiểm chứng được”. Nguyên tắc mang tính định tính này dẫn đến nhiều cách hiểu và thực hiện tại mỗi doanh nghiệp. Từ 2026, pháp luật bảo vệ DLCN khi quy định về vấn đề xin sự đồng ý của chủ dữ liệu đã có những điều chỉnh đáng kể sau:
(i) Làm rõ tiêu chí “có thể kiểm chứng được”. Theo khoản 1 Điều 6 Nghị định 356, “có thể kiểm chứng được” là việc bảo đảm khả năng xác định được đủ các yếu tố như việc (1) chủ thể dữ liệu đã thực hiện sự đồng ý, (2) thời điểm và (3) nội dung được đồng ý. Như vậy, không dừng lại ở hình thức định dạng sự đồng ý, nguyên tắc “kiểm chứng được” trong pháp luật bảo vệ DLCN từ 2026 đã bao hàm cả phương diện thời điểm và nội dung của sự đồng ý. Điều này đặt ra yêu cầu các Bên kiểm soát phải nghiêm túc tuân thủ yêu cầu có được sự đồng ý TRƯỚC khi xử lý DLCN cũng như tính hợp lệ của phạm vi, nội dung chi tiết về việc xử lý DLCN mà chủ dữ liệu đã xác lập.
(ii) Đưa ra các ví dụ minh họa cụ thể về phương thức thể hiện sự đồng ý như: bằng văn bản; bằng cuộc gọi ghi âm; cú pháp đồng ý qua tin nhắn điện thoại; qua thư điện tử; trên trang thông tin điện tử, nền tảng, ứng dụng có thiết lập kỹ thuật xin sự đồng ý; bằng các phương thức khác có thể in, sao chép bằng văn bản, kể cả dưới dạng điện tử hoặc định dạng kiểm chứng được. So với Nghị định 13, hệ thống quy định về bảo vệ DLCN bên cạnh việc giữ nguyên tắc chung về hình thức của sự đồng ý là phải ở định dạng kiểm chứng được, đã mở rộng việc liệt kê một số phương thức lấy sự đồng ý mà pháp luật chấp nhận. Điều này giúp các Bên kiểm soát linh hoạt và tự tin hơn khi lựa chọn phương thức thu thập sự đồng ý.
(iii) Không được thiết lập phương thức mặc định đồng ý hoặc tạo ra các chỉ dẫn không rõ ràng, gây hiểu lầm giữa đồng ý và không đồng ý; đồng thời, quy định các thiết lập mặc định phải đảm bảo nguyên tắc bảo vệ DLCN và tôn trọng các quyền của chủ thể dữ liệu. Nhìn chung, theo góc nhìn của LexNovum, thiết lập điều cấm này vẫn còn khá trừu tượng và có thể dẫn đến nhiều cách luận giải. Điều này đòi hỏi bên kiểm soát phải rà soát để đảm bảo rằng cách thức thu thập sự đồng ý không chỉ đáp ứng tính đầy đủ và khả năng kiểm chứng mà còn phải tránh các dấu hiệu bị cấm hoặc nguy cơ bị xem là “không tôn trọng” các quyền của chủ dữ liệu.
Như vậy, so với quy định trước đây, Luật BVDLCN và Nghị định 356 đã chuyển từ cách tiếp cận mang tính nguyên tắc sang việc quy định và hướng dẫn cụ thể hơn về phương thức cũng như điều kiện xin sự đồng ý, qua đó nâng cao yêu cầu tuân thủ đối với doanh nghiệp trong việc xin sự đồng ý của chủ thể dữ liệu trước khi tiến hành xử lý DLCN.
Doanh nghiệp nên?
Để bảo đảm tuân thủ đầy đủ quy định pháp luật bảo vệ DLCN, doanh nghiệp cần rà soát lại toàn bộ cơ chế xin và lưu trữ sự đồng ý của chủ thể dữ liệu, bao gồm: hình thức thể hiện sự đồng ý, nội dung thông báo, hệ thống lưu trữ bằng chứng và các thiết lập mặc định khi xin sự đồng ý… Việc chuẩn hóa các quy trình này không chỉ giúp doanh nghiệp đáp ứng yêu cầu pháp lý mà còn góp phần giảm thiểu rủi ro tranh chấp và trách nhiệm pháp lý phát sinh trong quá trình xử lý DLCN.
2. Quy định trách nhiệm của doanh nghiệp khi chuyển giao DLCN
Luật BVDLCN và Nghị định 356 lần đầu tiên quy định về “chuyển giao DLCN”, đồng thời khẳng định rằng việc chuyển giao DLCN có thu phí hoặc không thu phí thì không bị xác định là “mua, bán DLCN” – hành vi bị nghiêm cấm theo Điều 7 Luật BVDLCN. Song, để tránh việc các đối tượng xấu lợi dụng quy định này nhằm “mua, bán DLCN” trá hình, cơ quan lập pháp đã quy định chi tiết về các trường hợp và điều kiện cần đáp ứng để một hoạt động chuyển giao hợp pháp không bị xem là phi pháp. Trong đó, nổi bật là các quy định sau:
(i) Nghĩa vụ xác lập thỏa thuận chuyển giao DLCN với bên nhận DLCN. Theo đó, các bên chuyển và nhận DLCN phải thiết lập thỏa thuận chuyển giao và thỏa thuận đó phải bao gồm đầy đủ các nội dung theo khoản 1 Điều 7 Nghị định 356, trừ các trường hợp ngoại lệ (cụ thể: chuyển giao trong nội bộ doanh nghiệp, chuyển giao theo yêu cầu của cơ quan nhà nước, hoặc chuyển giao thuộc các trường hợp không cần thu thập sự đồng ý của chủ thể dữ liệu theo khoản 1 Điều 19 Luật BVDLCN);
(ii) Yêu cầu áp dụng biện pháp bảo mật trong quá trình chuyển giao DLCN nhạy cảm. Theo đó, các bên liên quan đến việc chuyển giao phải có biện pháp bảo mật vật lý đối với thiết bị lưu trữ và truyền tải, biện pháp mã hóa, ẩn danh DLCN và các biện pháp bảo mật khác. Tùy vào lĩnh vực, quy mô và tính chất của mỗi đối tượng chuyển – nhận, các quy chuẩn vật lý nên thiết lập sẽ được xác định tương ứng. Trong trường hợp quan tâm, Quý Khách hàng vui lòng tham khảo bài viết “Từ sự cố tấn công mạng của CIC, doanh nghiệp cần lưu ý gì trong bảo vệ dữ liệu cá nhân?”;
(iii) Nghĩa vụ thiết lập cơ chế kiểm soát nội bộ khi chuyển giao DLCN trong nội bộ. Theo đó, trong trường hợp chỉ chuyển giao DLCN trong phạm vi nội bộ, các tổ chức vẫn phải chú trọng xây dựng quy trình kiểm soát việc chia sẻ, sử dụng DLCN và có biện pháp phòng, chống việc nhân sự chia sẻ trái phép DLCN với bên thứ ba.
Tóm lại, mặc dù pháp luật về bảo vệ DLCN cho phép chuyển giao DLCN trong một số trường hợp nhất định và không mặc nhiên coi đây là hành vi mua, bán DLCN, nhưng doanh nghiệp chỉ được thực hiện việc chuyển giao khi đáp ứng đầy đủ các điều kiện tương ứng đối với từng trường hợp cụ thể.
3. Quy định chi tiết về dịch vụ xử lý DLCN
Luật BVDLCN và Nghị định 356 đã quy định chi tiết về dịch vụ xử lý DLCN, gồm liệt kê danh mục dịch vụ được xem là dịch vụ xử lý DLCN, quy định về điều kiện kinh doanh và trách nhiệm pháp lý tương ứng đối với doanh nghiệp cung cấp dịch vụ này, cụ thể:
(i) Dịch vụ xử lý DLCN bao gồm:
- Dịch vụ cung cấp và vận hành hệ thống, phần mềm tự động để thay mặt Bên kiểm soát, Bên kiểm soát và xử lý tiến hành xử lý DLCN.
- Dịch vụ chấm điểm, xếp hạng, đánh giá mức độ tín nhiệm của chủ thể DLCN.
- Dịch vụ thu thập, xử lý DLCN trực tuyến từ trang web, ứng dụng, phần mềm và mạng xã hội.
- Dịch vụ thu thập, xử lý DLCN qua trang web, ứng dụng, phần mềm chăm sóc sức khỏe, theo dõi sức khỏe, dịch vụ y tế.
- Dịch vụ thu thập, xử lý DLCN qua ứng dụng, phần mềm giáo dục có yếu tố giám sát như điểm danh, ghi hình, chấm điểm hành vi, nhận diện cảm xúc.
- Dịch vụ phân tích và khai thác DLCN, gồm: sử dụng các công cụ phân tích để tìm kiếm thông tin, xu hướng và mẫu từ DLCN; áp dụng các phương pháp khai thác dữ liệu để trích xuất giá trị từ DLCN, dự đoán hành vi người dùng hoặc tối ưu hóa dịch vụ.
- Dịch vụ mã hóa DLCN trong quá trình truyền tải và lưu trữ.
- Dịch vụ xử lý DLCN tự động dựa trên công nghệ dữ liệu lớn, trí tuệ nhân tạo, chuỗi khối, vũ trụ ảo.
- Dịch vụ nền tảng ứng dụng cung cấp dữ liệu vị trí cá nhân.
(ii) Điều kiện hoạt động:
Doanh nghiệp kinh doanh dịch vụ xử lý DLCN phải đáp ứng điều kiện luật định theo Điều 22 Nghị định 356, được cấp Giấy chứng nhận đủ điều kiện cung cấp dịch vụ xử lý DLCN bởi Bộ Công an theo Điều 25 Nghị định 356, đồng thời tuân thủ đầy đủ trách nhiệm pháp lý theo Điều 23 Nghị định 356.
Qua đánh giá, LNV nhận thấy rằng các quy định trên sẽ tác động đáng kể đến hoạt động của nhiều doanh nghiệp, đặc biệt là các doanh nghiệp trong lĩnh vực công nghệ và/hoặc sử dụng dịch vụ xử lý DLCN của bên thứ ba. Để bảo đảm tuân thủ quy định pháp luật và hạn chế rủi ro pháp lý phát sinh, doanh nghiệp cần lưu ý:
(i) Rà soát lại toàn bộ dịch vụ kinh doanh, thực hiện xin giấy phép nếu kinh doanh dịch vụ xử lý DLCN, và
(ii) Kiểm tra tình trạng pháp lý của doanh nghiệp cung cấp dịch vụ xử lý DLCN mà doanh nghiệp đang sử dụng (nếu có), đồng thời, cân nhắc việc lựa chọn trên tinh thần chỉ hợp tác với các doanh nghiệp đáp ứng đầy đủ điều kiện luật định.
Trên đây là một số nội dung cập nhật liên quan đến những điểm mới nổi bật trong các quy định về bảo vệ DLCN theo Luật BVDLCN và Nghị định 356. Có thể thấy, các quy định mới không chỉ mở rộng phạm vi điều chỉnh mà còn đặt ra nhiều yêu cầu cụ thể, chặt chẽ hơn đối với doanh nghiệp trong quá trình xử lý DLCN. Do đó, việc rà soát, cập nhật hệ thống chính sách nội bộ, quy trình tuân thủ và hồ sơ pháp lý liên quan là cần thiết để hạn chế rủi ro pháp lý và bảo đảm tuân thủ đúng quy định hiện hành.
Liên quan đến việc tuân thủ pháp luật về bảo vệ DLCN, LNV hiện đang cung cấp các dịch vụ sau:
(i) Tư vấn tuân thủ pháp luật về bảo vệ DLCN;
(ii) Tư vấn thực hiện thủ tục đánh giá tác động với cơ quan nhà nước (bao gồm: Hồ sơ đánh giá tác động xử lý DLCN và Hồ sơ đánh giá tác động chuyển DLCN xuyên biên giới).
Nếu có bất kỳ câu hỏi hay băn khoăn nào liên quan, vui lòng liên hệ với LNV để được tư vấn chi tiết. Hy vọng những thông tin trong bài viết sẽ hữu ích đối với Quý Khách hàng.
Người thực hiện: Luật sư Phan Nhi, Cộng sự Ngọc Mai
Lưu ý: Bài viết này được thực hiện dựa trên quy định của pháp luật và kinh nghiệm thực tế. Những thông tin tại bài viết này chỉ nên được sử dụng nhằm mục đích tham khảo. Chúng tôi không chịu trách nhiệm hay có nghĩa vụ pháp lý đối với bất kỳ cá nhân, tổ chức nào sử dụng thông tin tại bài viết này ngoài mục đích tham khảo. Trước khi đưa ra bất kỳ sự lựa chọn hoặc quyết định nào, Quý Khách hàng vui lòng tham vấn thêm các khuyến nghị một cách chính thức, hoặc liên hệ LexNovum Lawyers để nhận được sự tư vấn chuyên sâu từ chúng tôi.
Vui lòng trích dẫn nguồn “LexNovum Lawyers” khi sử dụng hoặc chia sẻ bài viết này tại bất kỳ đâu.
