Dữ liệu cá nhân cơ bản và nhạy cảm là gì? Theo Dự thảo lần 1 – Nghị định hướng dẫn Luật Bảo vệ DLCN (16/09/2025)

Bàn luận pháp luật

Dữ liệu cá nhân cơ bản và nhạy cảm là gì? Theo Dự thảo lần 1 – Nghị định hướng dẫn Luật Bảo vệ DLCN (16/09/2025)

LexNovum Lawyers

LexNovum Lawyers

24/10/2025

Trong bối cảnh dữ liệu số hiện nay, việc xây dựng khung pháp lý về bảo vệ dữ liệu cá nhân (“DLCN”) đóng vai trò then chốt trong việc đảm bảo quyền riêng tư của công dân và củng cố niềm tin trong hoạt động số. Nghị định 13/2023/NĐ-CP (“Nghị định 13”) là văn bản quy phạm pháp luật đầu tiên tại Việt Nam điều chỉnh các vấn đề liên quan đến bảo vệ DLCN. Sau hơn hai năm triển khai, hệ thống pháp luật về lĩnh vực này đang tiếp tục được hoàn thiện bằng việc ban hành Luật Bảo vệ DLCN (có hiệu lực từ ngày 01/01/2026) và Dự thảo Nghị định quy định chi tiết một số điều Luật Bảo vệ DLCN (lần 1 – 16/9/2025) (“Dự thảo Nghị định”).  

Một trong những nội dung trọng tâm của quá trình hoàn thiện hành lang pháp lý là việc xác định và phân loại DLCN, cụ thể là hai khái niệm về DLCN cơ bản và DLCN nhạy cảm. Việc xác định được hai loại dữ liệu này đóng vai trò quan trọng trong việc thiết lập mức độ bảo vệ và các trách nhiệm pháp lý của các tổ chức, cá nhân có liên quan đến hoạt động xử lý DLCN. So với Nghị định 13, Luật Bảo vệ DLCN và đã có sự chuyển hướng đáng kể trong tư duy lập pháp, từ cách tiếp cận liệt kê, mô tả cụ thể sang cách tiếp cận khái quát, linh hoạt. Cụ thể như sau: 

1. Khái niệm về DLCN cơ bản và DLCN nhạy cảm qua các văn bản và dự thảo văn bản quy phạm pháp luật 

Để Quý Độc giả có cái nhìn toàn diện hơn, LNV sẽ liệt kê các cách định nghĩa DLCN cơ bản và DLCN nhạy cảm qua các phiên bản quy định theo thứ tự (i) đang được áp dụng, (ii) sắp có hiệu lực và (iii) đang lấy ý kiến để chúng ta có thêm sự hình dung về sự thay đổi trong ý chí của nhà làm luật khi bàn về vấn đề này đã diễn ra như thế nào 

Từ bảng so sánh trên, có thể thấy rằng: 

  • Thứ nhất, so với Nghị định 13, Luật Bảo vệ DLCN và Dự thảo Nghị định đã thay đổi cách tiếp cận trong việc xác định DLCN cơ bản. Cụ thể, thay vì liệt kê danh mục từng loại thông tin như Nghị định 13, hai văn bản này tiếp cận theo hướng khái quát, tập trung vào bản chất dữ liệu. Cách tiếp cận như trên mang xu hướng mở rộng phạm vi xác định và nhận diện DLCN, linh hoạt hơn trong trường hợp phát sinh nhiều loại dữ liệu mới.  
  • Thứ hai, với DLCN nhạy cảm, Dự thảo Nghị định đã đưa ra định nghĩa kết hợp cả yếu tố nội dung và yếu tố kỹ thuật bảo mật, thay vì chỉ dựa trên bản chất, nội dung của dữ liệu. Đồng thời, khi liệt kê dữ liệu được xem là nhạy cảm, việc liệt kê không chỉ dừng lại ở việc xác định cụ thể loại dữ liệu mà còn kết hợp với việc tiếp tục định nghĩa loại thông tin được xem là dữ liệu nhạy cảm để mở rộng phạm vi xác định của loại dữ liệu nhạy cảm. So với Nghị định 13 và Luật Bảo vệ DLCN, Dự thảo Nghị định đã bổ sung thêm yếu tố “yêu cầu phân quyền giới hạn truy cập, quy trình xử lý và các biện pháp bảo mật chặt chẽ” làm căn cứ xác định DLCN nhạy cảm, thể hiện định hướng rõ ràng về việc tăng cường bảo vệ dữ liệu theo cấp độ rủi ro. 

2. Liệu cách phân loại DLCN trong dự thảo có tạo ra những khoảng mờ về phạm vi bảo vệ DLCN? 

Mặc dù cách tiếp cận khái quát góp phần linh hoạt hóa việc xác định các loại DLCN mới, song, cũng đặt ra nhiều khó khăn và thách thức trong việc xác lập, cụ thể: 

Một là, Dự thảo Nghị định định nghĩa một cách khái quát DLCN cơ bản dựa trên (i) yếu tố nhân thân, lai lịch phổ biến; (ii) thường xuyên sử dụng trong các giao dịch, quan hệ xã hội; và (iii) không thuộc danh mục DLCN nhạy cảm. Song, quy định này lại chưa hướng dẫn cụ thể thế nào là “phổ biến” hay “thường xuyên sử dụng”, gây khó khăn trong việc áp dụng và không thống nhất trong cách hiểu, dẫn đến có thể xảy ra trường hợp một DLCN dù được thường xuyên sử dụng vì mục đích cá nhân hoặc nhu cầu công việc nhưng vẫn là vấn đề nhạy cảm đối với chủ dữ liệu. Hơn nữa, tính phổ biến đối với lai lịch nên được xác định ở thời điểm nào? Trong một số trường hợp, một dữ liệu về lai lịch sau khi bị rò rỉ có thể trở nên phổ biến trong công chúng, nhưng ở thời điểm trước khi bị rò rỉ, dữ liệu đó vẫn luôn là một vấn đề được bảo mật và việc rò rỉ dữ liệu không xuất phát từ ý chí của chủ dữ liệu, vậy tính phổ biến tại thời điểm này còn được xét đến không?

Bên cạnh đó, xác định DLCN cơ bản dựa trên DLCN nhạy cảm khiến ranh giới giữa việc xác định hai loại dữ liệu này chưa thực sự rõ ràng. Cách định nghĩa DLCN cơ bản mang tính “loại trừ” trong Dự thảo Nghị định khiến việc nhận diện phụ thuộc hoàn toàn vào danh mục nhạy cảm. Mặt khác, khi công nghệ số hoàn toàn bùng nổ trong tương lai, một số loại DLCN nhạy cảm có thể trở thành DLCN cơ bản, hoặc các loại DLCN mới xuất hiện, việc dựa vào DLCN nhạy cảm để nhận diện DLCN cơ bản sẽ không khả thi hoặc nếu khả thi thì cũng đòi hỏi sự theo dõi, đánh giá và xem xét liên tục để kiểm tra tính hoán đổi giữa hai loại dữ liệu cơ bản – nhạy cảm đối với cùng một thông tin, trong thời gian và không gian, điều kiện khác nhau. 

Hai là, DLCN nhạy cảm được xác định dựa trên ba yếu tố: (i) gắn liền với quyền riêng tư của cá nhân; (ii) khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp đến quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân và (iii) yêu cầu phân quyền giới hạn truy cập, quy trình xử lý và các biện pháp bảo mật chặt chẽ. Theo đó, khái niệm về DLCN nhạy cảm có phần thu hẹp hơn so với Nghị định 13 và Luật Bảo vệ DLCN khi bổ sung thêm yếu tố “yêu cầu phân quyền giới hạn truy cập, quy trình xử lý và các biện pháp bảo mật chặt chẽ”, song lại thiếu hướng dẫn cụ thể về nội hàm của các cụm từ “phân quyền giới hạn truy cập”, “quy trình xử lý” và “biện pháp bảo mật chặt chẽ”. Điều này có thể gây khó khăn cho việc áp dụng trong thực tiễn, bởi các tổ chức, cá nhân xử lý dữ liệu có thể hiểu và triển khai khác nhau tùy theo năng lực kỹ thuật và mức độ nhận thức pháp lý.  

Đáng chú ý, tại Điều 4.2 Dự thảo Nghị định, pháp luật lại quy định thêm tiêu chí mở: “DLCN khác được pháp luật quy định cần giữ bí mật hoặc do tổ chức, cá nhân xác định cần có biện pháp bảo mật chặt chẽ”. Quy định như trên tạo cơ sở để tổ chức, cá nhân có thể tự xác định một DLCN nhạy cảm, tùy theo đặc thù dữ liệu và mức độ rủi ro trong xử lý. Mặt khác, điều này có thể dẫn đến hai xu hướng trái ngược: hoặc “quá thận trọng”, mở rộng phạm vi DLCN nhạy cảm nhằm tránh rủi ro pháp lý; hoặc “cẩu thả”, dẫn đến bỏ só, đánh giá thấp mức độ nhạy cảm của dữ liệu và không áp dụng đầy đủ biện pháp bảo vệ cần thiết nhằm giảm nghĩa vụ tuân thủ. 

Mặc dù Dự thảo Nghị định đã có sự nỗ lực hoàn thiện pháp luật, song, với cách định nghĩa như trên của Dự thảo Nghị định có thể gây lúng túng và không thống nhất trong các xác định và phân loại DLCN. LNV cũng lưu ý rằng Dự thảo Nghị định này hiện vẫn đang trong quá trình lấy ý kiến nên nội dung trên vẫn có thể sẽ được điều chỉnh và cập nhật và những bình luận trên đây chỉ nhằm đưa ra những góc nhìn để cùng thảo luận. Theo đó, LexNovum Lawyers sẽ tiếp tục theo dõi và cập nhật đến Quý Độc giả những thông tin mới nhất liên quan đến pháp luật về bảo vệ DLCN trong tương lai.  

Người thực hiện: Cộng sự Quế Trân 

Tham vấn: Luật sư Phan Nhi 

Lưu ý: 

Những thông tin tại bài viết này chỉ nên được sử dụng nhằm mục đích tham khảo. Chúng tôi không chịu trách nhiệm hay có nghĩa vụ pháp lý đối với bất kỳ cá nhân, tổ chức nào sử dụng thông tin này ngoài mục đích tham khảo. Trước khi đưa ra bất kỳ sự lựa chọn hoặc quyết định nào, Quý Khách hàng vui lòng tham vấn thêm các khuyến nghị một cách chính thức, hoặc liên hệ LexNovum Lawyers để nhận được sự tư vấn chuyên sâu từ chúng tôi. 

Vui lòng trích dẫn nguồn “LexNovum Lawyers” khi sử dụng hoặc chia sẻ bài viết này tại bất kỳ đâu. 

LexNovum Lawyers

LĨNH VỰC HOẠT ĐỘNG

LIÊN KẾT

MẠNG XÃ HỘI

Fanpage