AI ĐƯỢC HƯỞNG “QUYỀN MIỄN TRỪ” – MỘT SỐ QUY ĐỊNH CỦA LUẬT BẢO VỆ DỮ LIỆU CÁ NHÂN?

Bàn luận pháp luật

AI ĐƯỢC HƯỞNG “QUYỀN MIỄN TRỪ” – MỘT SỐ QUY ĐỊNH CỦA LUẬT BẢO VỆ DỮ LIỆU CÁ NHÂN?

LexNovum Lawyers

LexNovum Lawyers

11/03/2026

Bên cạnh các nghĩa vụ tuân thủ chặt chẽ, Luật Bảo vệ dữ liệu cá nhân (“DLCN”) và Nghị định 356/2026/NĐ-CP (“Nghị định 356”) cũng ghi nhận cơ chế “miễn trừ” đối với một số trường hợp nhất định, cụ thể pháp luật cho phép chủ thể có trách nhiệm không phải thực hiện một số nghĩa vụ như đánh giá tác động xử lý DLCN, cập nhật hồ sơ đánh giá tác động trong một thời hạn cụ thể.

Về ý chí, điều khoản “miễn trừ” này vô cùng có lợi cho các chủ thể kinh doanh khi được giảm bớt gánh nặng về thủ tục hành chính. Tuy nhiên, trên thực tế, nhiều chủ thể kinh doanh đã không hiểu rõ quy định về miễn trừ này và từ đó vi phạm trách nhiệm tuân thủ quy định của pháp luật về bảo vệ DLCN mà không hay biết.

Trong bài viết này, LNV sẽ phân tích và bình luận về quy định miễn trừ nêu trên nhằm làm rõ các trường hợp được hưởng “quyền miễn trừ”, đồng thời đưa ra quan điểm và khuyến nghị nhằm hỗ trợ chủ thể có trách nhiệm xây dựng phương án tuân thủ phù hợp.

1. Điều kiện được hưởng “quyền miễn trừ”?

Điều 38 Luật Bảo vệ DLCN quy định như sau:

Điều 41 Nghị định 356/2025/NĐ-CP hướng dẫn Điều 38 Luật Bảo vệ DLCN như sau:

Căn cứ các quy định nêu trên, chủ thể có trách nhiệm sẽ được miễn trừ các trách nhiệm về i) đánh giá tác động xử lý DLCN (Điều 21 Luật Bảo vệ DLCN), ii) cập nhật hồ sơ đánh giá tác động (Điều 22 Luật Bảo vệ DLCN), iii) chỉ định bộ phận, nhân sự bảo vệ DLCN hoặc thuê tổ chức, cá nhân cung cấp dịch vụ (khoản 2 Điều 33 Luật Bảo vệ DLCN).

Để được hưởng quyền miễn trừ nêu trên, chủ thể có trách nhiệm sẽ phải đáp ứng đủ hai điều kiện sau:

(i) Điều kiện về loại hình chủ thể kinh doanh, cụ thể:

  • Là doanh nghiệp nhỏ, doanh nghiệp khởi nghiệp. Theo đó, các chủ thể này có quyền lựa chọn thực hiện hoặc không thực hiện các trách nhiệm nêu trên đến 01/01/2031; hoặc
  • Là hộ kinh doanh, doanh nghiệp siêu nhỏ. Các chủ thể này sẽ không cần tuân thủ các trách nhiệm nêu trên.

(ii) Điều kiện liên quan đến hoạt động của chủ thể kinh doanh liên quan đến DLCN, cụ thể: Các chủ thể kinh doanh đặc thù không kinh doanh dịch vụ xử lý DLCN, trực tiếp xử lý DLCN nhạy cảm hoặc xử lý DLCN kể từ thời điểm có quy mô đạt từ 100 nghìn chủ thể dữ liệu trở lên dựa trên kết quả tích lũy tổng lượng DLCN đã xử lý.

Như vậy, “quyền miễn trừ” không phải là một cơ chế áp dụng mặc nhiên cho mọi chủ thể kinh doanh quy mô nhỏ, mà là một ngoại lệ có điều kiện và có giới hạn rõ ràng về loại hình chủ thể kinh doanh, cũng như quy mô và tính chất hoạt động và thời hạn xử lý DLCN như được nêu trên.

2. Tranh cãi về điều kiện đối tượng được hưởng quyền miễn trừ, quan điểm và khuyến nghị của LNV

i) Tranh cãi về điều kiện đối tượng được hưởng “quyền miễn trừ”

Trên thực tế, khi xét đến điều kiện thứ hai – liên quan đến việc không kinh doanh dịch vụ xử lý DLCN, trực tiếp xử lý DLCN nhạy cảm hoặc xử lý DLCN của số lượng lớn chủ thể dữ liệu – vẫn còn tồn tại cách hiểu khác nhau trong thực tiễn áp dụng. Cụ thể, cụm từ “trực tiếp xử lý DLCN nhạy cảm” có thể được diễn giải theo hai hướng:

  • Cách hiểu 1: Chỉ cần chủ thể kinh doanh có phát sinh hoạt động trực tiếp xử lý DLCN nhạy cảm (không phụ thuộc vào số lượng chủ thể dữ liệu) thì đã bị loại trừ khỏi cơ chế miễn trừ.
  • Cách hiểu 2: Chủ thể kinh doanh chỉ bị loại trừ khi trực tiếp xử lý DLCN nhạy cảm với quy mô đạt từ 100 nghìn chủ thể dữ liệu trở lên dựa trên kết quả tích lũy tổng lượng DLCN đã xử lý đối với Doanh nghiệp nhỏ, doanh nghiệp khởi nghiệp hoặc số lượng lớn chủ thể DLCN đối với Hộ kinh doanh, doanh nghiệp siêu nhỏ.

Từ kinh nghiệm tư vấn thực tiễn, LNV nhận thấy rằng phần lớn các doanh nghiệp, kể cả các chủ thể kinh doanh được liệt kê tại Điều 33 Luật Bảo vệ DLCN, đều xử lý DLCN nhạy cảm. Ví dụ điển hình là việc thu thập và lưu trữ hình ảnh căn cước công dân của người lao động (là DLCN nhạy cảm theo điểm i khoản 1 Điều 4 Nghị định 356) để phục vụ giao kết hợp đồng, thực hiện nghĩa vụ thuế, bảo hiểm xã hội và các nghĩa vụ pháp lý khác. Do đó, sự khác biệt giữa hai cách hiểu nêu trên không chỉ mang tính kỹ thuật lập pháp mà còn quyết định phạm vi áp dụng thực tế của cơ chế miễn trừ. Nếu áp dụng Cách hiểu 1, dường như không có chủ thể kinh doanh nào được hưởng quyền miễn trừ. Ngược lại, nếu áp dụng Cách hiểu 2, phạm vi áp dụng cơ chế miễn trừ sẽ có tính “mở” hơn trong giai đoạn đầu hoạt động của các chủ thể kinh doanh.

Nhiều trường hợp đã lựa chọn theo Cách hiểu 2 để được miễn trừ trách nhiệm liên quan đến bảo vệ DLCN. Tuy nhiên, việc lựa chọn cách hiểu này có nhiều rủi ro về pháp lý trong bối cảnh pháp luật chưa có quy định chi tiết.

ii) Xu hướng lập pháp và thực thi    

  • Về xu hướng lập pháp: Qua rà soát các bản dự thảo nghị định hướng dẫn Luật Bảo vệ DLCN (nay là Nghị định 356) trước khi ban hành chính thức, quy định miễn trừ được thống nhất cách trình bày như sau:

Từ cách trình bày nêu trên, có thể thấy điều kiện “trực tiếp xử lý DLCN nhạy cảm” từng được thiết kế như một căn cứ loại trừ độc lập, tách biệt với tiêu chí “xử lý DLCN của số lượng lớn chủ thể dữ liệu”. Điều này cho thấy xu hướng lập pháp nghiêng về việc coi đây là một điều kiện loại trừ riêng biệt, không phụ thuộc vào quy mô xử lý.

  • Về xu hướng thực thi: Qua trao đổi và tham khảo ý kiến với cơ quan nhà nước chuyên môn về bảo vệ DLCN, cơ quan chuyên môn có xu hướng khuyến nghị doanh nghiệp nên áp dụng theo hướng thận trọng, tức là tương đồng với Cách hiểu 1, nhằm bảo đảm tuân thủ đầy đủ các nghĩa vụ luật định và hạn chế rủi ro pháp lý trong trường hợp bị thanh tra, kiểm tra.

(iii) Khuyến nghị

Trong bối cảnh chưa có hướng dẫn chính thức và chi tiết từ cơ quan chuyên môn, việc áp dụng cách hiểu theo hướng “có lợi” (Cách hiểu 2) có thể tiềm ẩn rủi ro đáng kể. Theo đó, nếu áp dụng sai cơ chế miễn trừ có thể dẫn đến hậu quả là doanh nghiệp vi phạm nghĩa vụ bắt buộc mà không nhận thức được. Vì vậy, trên tinh thần thận trọng, LNV khuyến nghị doanh nghiệp đặc thù nên áp dụng Cách hiểu 1, tức là nếu doanh nghiệp trực tiếp xử lý DLCN nhạy cảm thì không thuộc đối tượng được hưởng quyền miễn trừ, từ đó chủ động triển khai đầy đủ các nghĩa vụ theo quy định pháp luật, bao gồm nhưng không giới hạn ở:

  • Thực hiện đánh giá tác động xử lý DLCN;
  • Cập nhật hồ sơ đánh giá tác động theo quy định;
  • Chỉ định bộ phận/nhân sự hoặc thuê tổ chức/cá nhân chịu trách nhiệm bảo vệ DLCN.

Trên đây là một số nội dung cập nhật liên quan đến quy định “quyền miễn trừ” của Luật Bảo vệ DLCN. LNV hy vọng những thông tin trong bài viết sẽ hữu ích đối với Quý Khách hàng. Nếu có bất kỳ câu hỏi hay băn khoăn nào liên quan, vui lòng liên hệ với LNV để được tư vấn chi tiết.

Người thực hiện: Cộng sự Ngọc Mai, Cộng sự Bình An

Tham vấn: Luật sư Phan Nhi

Lưu ý: Bài viết này được thực hiện dựa trên quy định của pháp luật và kinh nghiệm thực tế. Những thông tin tại bài viết này chỉ nên được sử dụng nhằm mục đích tham khảo. Chúng tôi không chịu trách nhiệm hay có nghĩa vụ pháp lý đối với bất kỳ cá nhân, tổ chức nào sử dụng thông tin tại bài viết này ngoài mục đích tham khảo. Trước khi đưa ra bất kỳ sự lựa chọn hoặc quyết định nào, Quý Khách hàng vui lòng tham vấn thêm các khuyến nghị một cách chính thức, hoặc liên hệ LexNovum Lawyers để nhận được sự tư vấn chuyên sâu từ chúng tôi.

Vui lòng trích dẫn nguồn “LexNovum Lawyers” khi sử dụng hoặc chia sẻ bài viết này tại bất kỳ đâu.

LexNovum Lawyers

LĨNH VỰC HOẠT ĐỘNG

LIÊN KẾT

MẠNG XÃ HỘI

Fanpage