Những Điểm Nổi Bật Của Luật Bảo Vệ Dữ Liệu Cá Nhân Mới Của Việt Nam (Luật BVDLCN 2025)

Vào tháng 6 năm 2025, Quốc hội đã thông qua Luật Bảo vệ dữ liệu cá nhân mới (Luật BVDLCN 2025), sẽ có hiệu lực từ ngày 01 tháng 01 năm 2026. Luật mới này thể hiện bước phát triển quan trọng từ khung pháp lý nền tảng được thiết lập bởi Nghị Định 13/2023, giới thiệu một cơ chế bảo vệ dữ liệu cá nhân toàn diện và nghiêm ngặt hơn nhiều. Bài viết này sẽ phân tích một số điểm nổi bật quan trọng của Luật BVDLCN 2025 mới, cùng với một số tác động quan trọng đối với doanh nghiệp.

Để cung cấp một góc nhìn toàn diện, chúng tôi cũng đính kèm một bản tóm tắt được tạo bởi Gemini AI của Google để so sánh và tham khảo (xem tại đây).

Phạm vi áp dụng ngoài lãnh thổ được thu hẹp

Luật BVDLCN 2025 thu hẹp phạm vi áp dụng ngoài lãnh thổ so với các quy định trước đây. Thay vì một quy tắc áp dụng rộng cho "dữ liệu của người nước ngoài", Luật BVDLCN 2025 áp dụng rõ ràng cho các tổ chức nước ngoài trực tiếp tham gia hoặc có liên quan đến hoạt động xử lý dữ liệu cá nhân của công dân Việt Nam và người gốc Việt Nam đang sinh sống tại Việt Nam. Quy định mới này đã thành công trong việc giải quyết sự nhầm lẫn và không chắc chắn mà dự thảo trước đó của Luật BVDLCN 2025 đã gây ra (xem thảo luận của chúng tôi tại đây).

Tuy nhiên, phạm vi áp dụng này vẫn còn các vấn đề sau:

  • Quy định này vẫn chưa giải quyết được sự mơ hồ hiện có theo Nghị Định 13/2023 về việc liệu các đối tượng áp dụng theo Luật BVDLCN 2025 áp dụng cho các bên xử lý hay chủ thể dữ liệu (xem thảo luận của chúng tôi tại đây).

  • Luật BVDLCN 2025 cũng không rõ ràng về phạm vi áp dụng cho các tổ chức nước ngoài xử lý dữ liệu của cá nhân không phải là người Việt Nam (ví dụ: khách du lịch, người nước ngoài làm việc) tại Việt Nam. Mặc dù Điều 1.2 của Luật BVDLCN 2025 không quy định rõ trường hợp này, Điều 5.1 quy định rằng luật này áp dụng cho tất cả "Hoạt động bảo vệ dữ liệu cá nhân trên lãnh thổ nước Cộng hòa xã hội chủ nghĩa Việt Nam", mà có thể được cho là bao gồm cả trường hợp này.

Định nghĩa về dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm

Không giống như Nghị Định 13/2023, vốn liệt kê rõ ràng các loại dữ liệu cá nhân, Luật BVDLCN 2025 định nghĩa "dữ liệu cá nhân cơ bản" và "dữ liệu cá nhân nhạy cảm" là dữ liệu "thuộc danh mục do Chính phủ ban hành". Dự thảo nghị định hướng dẫn Luật BVDLCN 2025 (Dự Thảo Nghị Định Luật BVDLCN 2025) cung cấp các danh mục như vậy, nhưng phát sinh nhiều vấn đề:

  • Định nghĩa luẩn quẩn: Dự Thảo Nghị Định Luật BVDLCN 2025 định nghĩa dữ liệu cá nhân cơ bản là bất kỳ dữ liệu nào không phải là dữ liệu cá nhân nhạy cảm. Định nghĩa này gây tốn thời gian cho các bên xử lý, vì họ trước tiên phải xác định liệu dữ liệu đó có thuộc danh sách dữ liệu cá nhân nhạy cảm hay không, và có thể không khả thi vì danh sách dữ liệu nhạy cảm tương ứng không phải là một danh sách đầy đủ (xem bên dưới).

  • Danh sách dữ liệu cá nhân nhạy cảm không đầy đủ: Điều 4.2(n) của Dự Thảo Nghị Định Luật BVDLCN 2025 bao gồm một điều khoản "catch-all" (hứng trọn), cho phép các tổ chức tự xác định các loại dữ liệu khác là "nhạy cảm". Điều này khiến các doanh nghiệp không thể biết chắc chắn dữ liệu nào được coi là "cơ bản" hay "nhạy cảm", tạo ra sự không chắc chắn lớn trong việc tuân thủ.

  • Điều kiện không nhất quán: Điều 4.1 của Dự Thảo Nghị Định Luật BVDLCN 2025 cũng đưa ra một điều kiện mới để dữ liệu cá nhân được coi là nhạy cảm: nó phải yêu cầu "phân quyền giới hạn truy cập, quy trình xử lý và các biện pháp bảo mật chặt chẽ". Yêu cầu kỹ thuật này có vẻ không nhất quán với định nghĩa trong chính Luật BVDLCN 2025, vốn định nghĩa dữ liệu cá nhân nhạy cảm dựa trên khả năng gây hại cho chủ thể dữ liệu.

Giới thiệu cơ sở "lợi ích hợp pháp"

Một phát triển đáng lưu ý trong Luật BVDLCN 2025 mới là việc giới thiệu cơ sở "lợi ích hợp pháp" để xử lý dữ liệu cá nhân mà không cần sự đồng ý. Điều 19.1(a) của Luật BVDLCN 2025 cho phép xử lý dữ liệu khi cần thiết để bảo vệ "quyền hoặc lợi ích hợp pháp" của bên kiểm soát/bên xử lý dữ liệu hoặc một bên khác "trước hành vi xâm phạm" các lợi ích đó. Quy định này đưa các quy định bảo vệ dữ liệu của Việt Nam đến gần hơn với GDPR và mang lại cho các bên xử lý một cơ sở pháp lý mới tiềm năng để xử lý dữ liệu cá nhân mà không cần sự đồng ý rõ ràng. Tuy nhiên:

  • Mặc dù cơ sở "lợi ích hợp pháp" của GDPR (Điều 6.1(f)) áp dụng rộng rãi cho các mục đích chủ động, quy định của Luật BVDLCN 2025 hẹp hơn, đòi hỏi mục đích mang tính phản ứng hoặc phòng vệ liên quan đến một "hành vi xâm phạm".

  • Hơn nữa, không giống như GDPR, Luật BVDLCN 2025 không cung cấp một khuôn khổ rõ ràng cho một "bài kiểm tra cân bằng" (balancing test) để cân nhắc lợi ích của bên kiểm soát so với quyền của chủ thể dữ liệu. Luật BVDLCN 2025 chỉ đưa ra một nguyên tắc chung tại Điều 3.6, nói rằng việc bảo vệ dữ liệu phải hài hòa với "quyền, lợi ích hợp pháp" của các tổ chức và cá nhân. Sự mơ hồ này khiến cơ sở này khó có thể được áp dụng trong thực tế và tạo ra rủi ro rằng nó có thể bị các bên xử lý lạm dụng.

Giới thiệu các hình phạt tài chính nghiêm khắc, dựa trên doanh thu

Lần đầu tiên, Luật BVDLCN 2025 giới thiệu các hình phạt tài chính cụ thể và nghiêm khắc cho các hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân. Điều 8 của Luật BVDLCN 2025 thiết lập một hệ thống hình phạt nhiều tầng, bao gồm phạt tiền lên đến 5% tổng doanh thu của năm trước liền kề đối với hành vi chuyển dữ liệu cá nhân xuyên biên giới trái pháp luật, lên đến 10 lần khoản thu có được từ việc mua, bán dữ liệu cá nhân trái phép, và tối đa 03 tỷ đồng cho các vi phạm khác. Đây là một sự thay đổi đáng kể so với Nghị Định 13/2023, vốn chỉ quy định chung về xử lý vi phạm mà không nêu rõ mức phạt tiền.

Cấu trúc hình phạt mới, đặc biệt là mức phạt dựa trên doanh thu, cho thấy sự tương đồng rõ ràng với GDPR, vốn áp dụng mức phạt lên đến 4% tổng doanh thu hàng năm toàn cầu của công ty (Điều 83). Bằng cách áp dụng một mô hình tương tự, Việt Nam báo hiệu một cam kết nghiêm túc trong việc thực thi, đặt các công ty không tuân thủ trước nguy cơ tổn thất tài chính đáng kể. Nhưng với sự thiếu rõ ràng và nhất quán của Luật BVDLCN 2025, điều này đặt ra những rủi ro đáng kể cho các doanh nghiệp xử lý dữ liệu cá nhân.

Danh sách mới về các trường hợp được phép chuyển giao dữ liệu cá nhân

Không giống như Nghị Định 13/2023, Điều 17.1 của Luật BVDLCN 2025 đưa ra một danh sách xác định các trường hợp cấu thành hành vi chuyển giao dữ liệu cá nhân được phép. Danh sách này thiết lập một cơ sở pháp lý vững chắc cho các hoạt động kinh doanh thông thường, chẳng hạn như chia sẻ dữ liệu giữa các bộ phận trong cùng một công ty hoặc chuyển giao dữ liệu trong quá trình tái cấu trúc doanh nghiệp, bao gồm cả sáp nhập và mua lại. Đáng chú ý, Điều 17.2 làm rõ rằng các hoạt động chuyển giao này không bị coi là mua, bán dữ liệu cá nhân bị cấm, ngay cả khi có liên quan đến một khoản phí, điều này hợp pháp hóa nhiều dịch vụ liên quan đến dữ liệu.

Tuy nhiên, một số vấn đề phát sinh từ các quy định này:

  • Lỗ hổng chuyển giao trong nội bộ tập đoàn: Mặc dù Luật BVDLCN 2025 làm rõ việc chia sẻ dữ liệu trong nội bộ một tổ chức, luật lại không đề cập rõ ràng đến việc chuyển giao giữa các công ty riêng biệt trong cùng một tập đoàn. Sự thiếu sót này có nghĩa là các công ty con phải coi nhau như "bên thứ ba", đòi hỏi một cơ sở pháp lý riêng biệt (như sự đồng ý cụ thể theo Điều 17.1(a)) để chia sẻ dữ liệu, điều này làm phức tạp các hoạt động kinh doanh tích hợp.

  • Rủi ro lạm dụng sự đồng ý: Việc miễn trừ "không phải là mua bán" tạo ra rủi ro cao rằng bên kiểm soát/xử lý dữ liệu có thể lạm dụng quy định này bằng cách lấy sự đồng ý rộng hoặc gộp từ các chủ thể dữ liệu để sau đó bán dữ liệu của họ một cách thương mại, lập luận rằng đó là "chuyển giao có thu phí" được phép theo Điều 17 thay vì là một hành vi mua bán bất hợp pháp. Sự mơ hồ này càng tăng lên bởi vì Dự Thảo Nghị Định Luật BVDLCN 2025 không đưa ra bất kỳ giải thích rõ ràng nào thêm về vấn đề này.

Những thay đổi đáng kể liên quan đến chuyển dữ liệu cá nhân xuyên biên giới

Luật BVDLCN 2025 giới thiệu một khuôn khổ được sửa đổi đáng kể cho việc chuyển dữ liệu cá nhân xuyên biên giới so với Nghị Định 13/2023. Các thay đổi chính bao gồm:

  • Phạm vi áp dụng rộng hơn: Các trường hợp chuyển dữ liệu xuyên biên giới của Luật BVDLCN 2025 hiện bao gồm bất kỳ dữ liệu cá nhân nào được thu thập tại Việt Nam, bất kể quốc tịch của họ. Đây là một sự thay đổi so với Nghị Định 13/2023, vốn giới hạn các quy tắc cho dữ liệu của "công dân Việt Nam".

  • Các ngoại lệ thực tế mới: Cả Luật BVDLCN 2025 và Dự Thảo Nghị Định Luật BVDLCN 2025 đều giới thiệu một số ngoại lệ mới không yêu cầu nộp hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài (TIA), chẳng hạn như lưu trữ dữ liệu nhân viên trên dịch vụ đám mây hoặc chuyển giao cho việc đặt phòng khách sạn và hậu cần. Điều này làm giảm đáng kể gánh nặng hành chính cho nhiều hoạt động kinh doanh thường ngày.

  • Chỉ cần nộp hồ sơ TIA một lần: Luật BVDLCN 2025 làm rõ rằng hồ sơ TIA chỉ cần nộp một lần và sau đó cập nhật khi có yêu cầu. Điều này loại bỏ sự mơ hồ theo Nghị Định 13/2023 và hợp lý hóa quy trình tuân thủ.

Mặc dù có những cải tiến, khuôn khổ mới cũng đưa ra những thách thức pháp lý đáng kể:

  • Sự không chắc chắn về phạm vi đối với dữ liệu của người nước ngoài: Phạm vi rộng hơn mà Luật BVDLCN 2025 đề xuất lại mâu thuẫn với Điều 18.1 của Dự Thảo Nghị Định Luật BVDLCN 2025, vốn quy định rằng yêu cầu TIA chỉ áp dụng cho dữ liệu của "công dân Việt Nam và người gốc Việt Nam". Sự mâu thuẫn này tạo ra sự mơ hồ lớn cho các doanh nghiệp xử lý dữ liệu từ công dân nước ngoài tại Việt Nam.

  • Danh sách các ngoại lệ có thể không bao gồm tất cả các hoạt động thường ngày. Ví dụ, sử dụng các nền tảng Phần mềm dưới dạng Dịch vụ (SaaS) toàn cầu như CRM (ví dụ: Salesforce) hoặc dịch vụ tiếp thị qua email (ví dụ: Mailchimp), hoặc cho phép truy cập từ xa để hỗ trợ kỹ thuật trên các hệ thống CNTT để xử lý dữ liệu khách hàng thu thập tại Việt Nam vẫn được coi là chuyển dữ liệu xuyên biên giới theo Điều 20.1(c) của Luật BVDLCN 2025 và có khả năng sẽ kích hoạt yêu cầu nộp hồ sơ TIA.

Bổ nhiệm DPO bắt buộc

Theo Điều 28.2 của Nghị Định 13/2023, nghĩa vụ chỉ định nhân sự hoặc bộ phận phụ trách bảo vệ dữ liệu cá nhân (DPO) chỉ được yêu cầu đối với các tổ chức xử lý dữ liệu cá nhân nhạy cảm. Luật BVDLCN 2025 loại bỏ sự phân biệt này, áp đặt nghĩa vụ này lên tất cả các tổ chức, bất kể loại dữ liệu họ xử lý. Đáng chú ý, Điều 33.2 của Luật BVDLCN 2025 cung cấp sự linh hoạt, cho phép các tổ chức lựa chọn giữa việc chỉ định nhân sự nội bộ, thành lập một bộ phận chuyên trách, hoặc thuê một nhà cung cấp dịch vụ bên ngoài để hoàn thành vai trò này.

Trong một thay đổi quan trọng so với các miễn trừ theo Nghị Định 13/2023, các doanh nghiệp vừa và nhỏ (DNVVN) không còn được miễn trừ khỏi yêu cầu này nếu hoạt động của họ liên quan đến việc xử lý dữ liệu cá nhân nhạy cảm hoặc xử lý một lượng lớn dữ liệu. Yêu cầu phổ quát này thậm chí còn nghiêm ngặt hơn cả GDPR. Điều 37 của GDPR chỉ bắt buộc DPO trong các trường hợp cụ thể, có rủi ro cao, chẳng hạn như đối với các cơ quan công quyền hoặc khi các hoạt động cốt lõi liên quan đến giám sát quy mô lớn, thường xuyên hoặc xử lý dữ liệu nhạy cảm.

Mâu thuẫn với Luật Dữ Liệu về đánh giá tác động đối với dữ liệu cá nhân là dữ liệu cốt lõi và dữ liệu quan trọng

Luật BVDLCN 2025 tạo ra một mâu thuẫn pháp lý đáng kể với Nghị định 165/2025 hướng dẫn Luật Dữ Liệu 2024 của Việt Nam liên quan đến các đánh giá tác động bắt buộc đối với dữ liệu cá nhân cũng được phân loại là "dữ liệu cốt lõi" hoặc "dữ liệu quan trọng". Sự mâu thuẫn này mang lại sự không chắc chắn đáng kể cho các doanh nghiệp.

  • Một mặt, Điều 5.4 của Luật BVDLCN 2025 quy định rằng nếu một tổ chức thực hiện đánh giá tác động xử lý dữ liệu cá nhân (DPIA) và đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới (TIA) theo Luật BVDLCN 2025, thì tổ chức đó không phải thực hiện các đánh giá tương tự theo yêu cầu của Luật Dữ liệu 2024.

  • Mặt khác, Điều 16.2 của Nghị định 165/2025 quy định điều ngược lại. Quy định này yêu cầu rằng đối với dữ liệu cốt lõi và dữ liệu quan trọng cũng là dữ liệu cá nhân, các tổ chức phải tuân theo các thủ tục trong Luật Dữ liệu 2024 và Nghị định 165/2025, và được miễn trừ rõ ràng khỏi các yêu cầu của Luật BVDLCN 2025.

Sự không nhất quán này tạo ra sự nhầm lẫn về việc tuân theo quy định nào. Mặc dù có thể lập luận rằng Luật BVDLCN 2025, với tư cách là một Luật được Quốc hội thông qua, có hiệu lực pháp lý cao hơn một Nghị định của Chính phủ, việc bỏ qua một chỉ thị trực tiếp trong Nghị định 165/2025 tạo ra một rủi ro tuân thủ thực tế cho các doanh nghiệp, đặc biệt là trong các cuộc thanh tra của các cơ quan nhà nước.

Không rõ liệu Luật BVDLCN 2025 có thay thế Nghị Định 13/2023 hay không

Cả Luật Bảo vệ dữ liệu cá nhân (Luật BVDLCN 2025) và Dự Thảo Nghị Định Luật BVDLCN 2025 hiện tại đều không chứa một điều khoản rõ ràng nào nói rằng Nghị Định 13/2023 sẽ bị bãi bỏ.

Mặc dù nguyên tắc về thứ bậc pháp lý quy định rằng Luật BVDLCN 2025 sẽ thay thế Nghị Định 13/2023 khi có hiệu lực, việc thiếu một quy định bãi bỏ rõ ràng tạo ra sự không chắc chắn đáng kể về mặt pháp lý. Lỗ hổng lập pháp này là một điểm quan trọng mà các cơ quan quản lý cần giải quyết trong phiên bản cuối cùng của Dự Thảo Nghị Định Luật BVDLCN 2025 để đảm bảo quá trình chuyển đổi rõ ràng và suôn sẻ cho các doanh nghiệp.

Các miễn trừ đáng kể cho cơ quan có thẩm quyền

Luật BVDLCN 2025 giới thiệu các miễn trừ rộng rãi cho các cơ quan nhà nước có thẩm quyền khỏi các nghĩa vụ bảo vệ dữ liệu cốt lõi, một thay đổi đáng kể so với Nghị Định 13/2023. Cụ thể:

  • Miễn trừ thực hiện TIA: Điều 20.6(a) của Luật BVDLCN 2025 miễn trừ rõ ràng các cơ quan nhà nước có thẩm quyền khỏi yêu cầu chuẩn bị hồ sơ TIA khi thực hiện chuyển dữ liệu cá nhân xuyên biên giới.

  • Miễn trừ thực hiện DPIA: Điều 21.6 của Luật BVDLCN 2025 miễn trừ các cơ quan nhà nước có thẩm quyền khỏi yêu cầu chuẩn bị hồ sơ DPIA cho các hoạt động xử lý của họ.

Không giống như Luật BVDLCN 2025, GDPR không cung cấp một miễn trừ toàn diện cho các cơ quan công quyền khỏi việc thực hiện DPIA hoặc tuân thủ các quy tắc chuyển giao quốc tế. Trên thực tế, các cơ quan công quyền thường được yêu cầu thực hiện DPIA vì việc xử lý dữ liệu công dân quy mô lớn của họ được coi là có rủi ro cao. Tương tự, họ phải tuân thủ các quy tắc trong Chương V của GDPR khi chuyển dữ liệu ra ngoài EU.

Các điểm đáng chú ý khác

  • Các khái niệm xử lý mới: Luật BVDLCN 2025 giới thiệu các định nghĩa chính thức cho mã hóa và khử nhận dạng. Quan trọng là, luật làm rõ rằng dữ liệu cá nhân, nếu đã trải qua khử nhận dạng, sẽ không còn được coi là dữ liệu cá nhân nữa.

  • Tăng cường bảo vệ theo lĩnh vực cụ thể: Luật BVDLCN 2025 cung cấp các biện pháp bảo vệ chi tiết và mạnh mẽ hơn cho các chủ thể dữ liệu trong nhiều lĩnh vực khác nhau. Ví dụ, trong dịch vụ quảng cáo, bên kiểm soát giờ đây phải đảm bảo chủ thể dữ liệu được thông báo đầy đủ về nội dung, phương thức, hình thức và tần suất giới thiệu sản phẩm trước khi có được sự đồng ý.

  • Gia hạn thời gian ân hạn: Thời gian ân hạn cho doanh nghiệp nhỏ và doanh nghiệp khởi nghiệp đã được kéo dài từ hai năm (theo Nghị Định 13/2023) lên năm năm. Hơn nữa, phạm vi của nó giờ đây bao gồm cả việc nộp hồ sơ TIA/DPIA và nghĩa vụ bổ nhiệm DPO, một sự mở rộng so với Nghị Định 13/2023, vốn chỉ miễn trừ việc bổ nhiệm DPO.

Bài viết này được thực hiện bởi Trịnh Phương Thảo và biên tập bởi Nguyễn Quang Vũ.

Info
Written by Lawyers VNLaw On In