Vào ngày 31 tháng 12 năm 2025, Chính Phủ đã ban hành Nghị Định 356/2025 hướng dẫn thi hành Luật BVDLCN 2025, có hiệu lực từ ngày 01 tháng 01 năm 2026. Nghị định 356/2025 cung cấp các hướng dẫn chi tiết quan trọng và đáng chú ý là đã giải quyết được một số điểm chưa rõ ràng trong khuôn khổ Luật BVDLCN 2025. Bài viết này nêu bật những điểm mấu chốt từ văn bản mới này.

1.         Mở rộng phạm vi "dữ liệu cá nhân nhạy cảm": Thẻ căn cước và thông tin đăng nhập

So với Dự Thảo Nghị Định Luật BVDLCN 2025, Nghị Định 356/2025 mở rộng phạm vi dữ liệu cá nhân nhạy cảm, trong đó quy định rõ ràng bao gồm:

• Tên đăng nhập và mật khẩu của tài khoản định danh điện tử: Theo Nghị Định 13/2023 trước đây, thông tin này có thể thuộc nhóm “thông tin về tài khoản số” của chủ thể dữ liệu, vốn chỉ được phân loại là dữ liệu cá nhân cơ bản; và

• Hình ảnh của thẻ căn cước, thẻ căn cước công dân và chứng minh nhân dân (gọi chung là Giấy Tờ Tùy Thân).

Mặc dù quy định này dường như nhằm mục đích chống trộm cắp danh tính và lừa đảo (ví dụ: các vụ lừa đảo gần đây mạo danh cơ quan công quyền để chiếm đoạt tài sản), nhưng nó đặt ra một rào cản tuân thủ lớn cho các quy trình định danh điện tử (eKYC) trên tất cả các lĩnh vực. Trước đây, theo Nghị định 13/2023, các thông tin văn bản cụ thể trên Giấy Tờ Tùy Thân (như họ tên, nơi cư trú) thường được phân loại là dữ liệu cá nhân cơ bản, trừ khi chúng thuộc loại "thông tin nhận biết khách hàng của tổ chức tín dụng"—một loại hình giới hạn trong ngành ngân hàng. Tuy nhiên, Nghị Định 356/2025 phân loại chính hình ảnh Giấy Tờ Tùy Thân là dữ liệu cá nhân nhạy cảm trong mọi trường hợp. Điều này kích hoạt các nghĩa vụ chặt chẽ hơn (ví dụ: phân quyền truy cập bắt buộc) đối với tất cả các lĩnh vực liên quan đến eKYC—bao gồm thương mại điện tử, bảo hiểm và fintech (công nghệ tài chính)—chứ không chỉ riêng các tổ chức tín dụng.

Ngoài ra, điều này tạo ra gánh nặng tuân thủ đáng kể cho việc xử lý tự động (ví dụ: công nghệ OCR). Ví dụ, ngay cả khi nhà cung cấp dịch vụ ví điện tử chỉ thu thập hình ảnh Giấy Tờ Tùy Thân trong giây lát để trích xuất dữ liệu văn bản qua OCR và xóa hình ảnh ngay lập tức, hoạt động đó vẫn cấu thành hành vi "xử lý dữ liệu cá nhân nhạy cảm".

2.         Dịch vụ xử lý dữ liệu - Phạm vi rộng với rủi ro về cấp phép

Nghị Định 356/2025 coi "Dịch vụ xử lý dữ liệu cá nhân" là ngành nghề kinh doanh có điều kiện, yêu cầu phải có giấy phép từ Bộ Công An (BCA). Định nghĩa về dịch vụ này rộng một cách đáng kể, bao gồm, ví dụ: các dịch vụ thu thập và xử lý dữ liệu cá nhân trực tuyến từ các trang web, ứng dụng, phần mềm và mạng xã hội. Khái niệm này tạo ra rủi ro đáng kể về việc mở rộng phạm vi quản lý quá mức. Nó tạo ra một "vùng xám" nơi các nhà cung cấp công nghệ B2B tiêu chuẩn—như nhà cung cấp dịch vụ đám mây (cloud), nền tảng SaaS và các đơn vị tiếp thị/phân tích—có thể bị phân loại là "nhà cung cấp dịch vụ xử lý dữ liệu cá nhân" thay vì chỉ là các đơn vị trung gian kỹ thuật thuần túy.

Nếu không có hướng dẫn thêm, có rủi ro có thể diễn giải theo cách chặt chẽ rằng, ngay cả các doanh nghiệp thông thường đang vận hành hoạt động của riêng họ (ví dụ: một nền tảng thương mại điện tử xử lý dữ liệu khách hàng cho các nhà bán hàng) cũng có thể bị hiểu sai là đang cung cấp "dịch vụ xử lý dữ liệu cá nhân". Nếu bị các cơ quan quản lý diễn giải rộng như vậy, điều này sẽ áp đặt gánh nặng cấp phép nặng nề và thiếu thực tế lên một loạt các doanh nghiệp kỹ thuật số tại Việt Nam.

3.         Tiêu chuẩn DPO - Nới lỏng điều kiện & khoảng trống về chứng chỉ

Khác với Dự Thảo Nghị Định Luật BVDLCN 2025 (xem phân tích của chúng tôi tại đây) vốn đề xuất các yêu cầu nghiêm ngặt đối với DPO, bao gồm các kỳ thi bắt buộc, Nghị Định 356/2025 đã nới lỏng đáng kể các tiêu chuẩn này. Cụ thể, đối với cả DPO Nội Bộ và DPO Thuê Ngoài, Nghị Định 356/2025 đã:

• Bỏ yêu cầu phải hoàn thành các khóa đào tạo cụ thể do tổ chức Việt Nam đủ điều kiện tổ chức và phải đạt tiêu chuẩn theo chương trình đánh giá của BCA

• Hạ yêu cầu về trình độ chuyên môn từ "trình độ đại học" xuống "trình độ cao đẳng";

• Giảm số năm kinh nghiệm yêu cầu trong các lĩnh vực liên quan (ví dụ: DPO Nội Bộ chỉ cần có 2 năm kinh nghiệm—thay vì 3 năm như đề xuất trước đây—trong lĩnh vực luật, CNTT, an ninh mạng hoặc các lĩnh vực liên quan).

Đáng chú ý, một DPO Nội Bộ có thể đáp ứng yêu cầu "được đào tạo chuyên sâu về kiến thức pháp luật và kỹ năng chuyên môn về bảo vệ dữ liệu cá nhân" chỉ bằng cách tham gia đào tạo nội bộ từ tổ chức của mình. Tuy nhiên, Nghị Định 356/2025 lại không đề cập rõ ràng đối với DPO Thuê Ngoài. Vẫn chưa rõ liệu yêu cầu này có thể được đáp ứng bằng cách sở hữu chứng chỉ từ các tổ chức quốc tế (và liệu BCA có công nhận các chứng chỉ đó hay không), hay nhân sự phải có chứng chỉ cụ thể do một đơn vị Việt Nam cấp.

4.         Quy định chặt chẽ hơn đối với lĩnh vực AI và Blockchain

So với các quy định ban đầu về xử lý dữ liệu trong các lĩnh vực đặc thù tại Dự thảo Luật BVDLCN (xem phân tích của chúng tôi tại đây), Nghị Định 356/2025 đưa ra các yêu cầu tuân thủ chặt chẽ hơn nhắm cụ thể vào việc ứng dụng Trí tuệ nhân tạo (AI) và Blockchain trong xử lý dữ liệu cá nhân, đáng chú ý là:

• Dữ liệu do AI tạo ra là dữ liệu cá nhân: Theo Nghị Định 356/2025, dữ liệu được tạo ra hoặc suy ra từ công nghệ AI có thể được phân loại là dữ liệu cá nhân (nếu nó có thể xác định danh tính một cá nhân). Điều này có thể đặt ra một số vấn đề:

(1)     Gánh nặng bảo vệ đối với dữ liệu suy luận: Có rủi ro lớn là bất kỳ kết quả đầu ra nào do AI tạo ra đều có thể bị phân loại là dữ liệu cá nhân. Nếu các tổ chức buộc phải bảo vệ tất cả các suy luận do AI tạo ra—ngay cả những suy luận sai hoặc không liên quan—một cách nghiêm ngặt như Dữ Liệu Cá Nhân, họ sẽ phải đối mặt với các chi phí phi lý để bảo vệ dữ liệu mà có thể không có giá trị thực tế hoặc không liên kết với các cá nhân thực.

(2) "Nghịch lý về sự đồng ý" (xung đột với nguyên tắc đồng ý trước): Vì chủ thể dữ liệu chưa được xác định trước khi thuật toán AI chạy, tổ chức không thể xin sự đồng ý cụ thể của họ. Tuy nhiên, vào thời điểm AI xác định được chủ thể dữ liệu, về mặt kỹ thuật, tổ chức đã "xử lý" dữ liệu mà không có sự đồng ý, dẫn đến vi phạm pháp luật ngay lập tức.

(3) Rủi ro tái định danh: Có nguy cơ cao là dữ liệu trước đây được coi là "đã khử nhận dạng" có thể bị "tái định danh" bởi khả năng của AI, làm vô hiệu hóa các nỗ lực ẩn danh hóa trước đó và kích hoạt các nghĩa vụ tuân thủ trở lại.

• Hạn chế lưu trữ trên blockchain (công nghệ chuỗi khối): Theo Nghị Định 356/2025, việc lưu trữ trực tiếp dữ liệu cá nhân thô trên chuỗi khối bị cấm. Dữ liệu cá nhân chỉ được lưu trữ trên chuỗi khối nếu đã được (i) khử nhận dạng; hoặc (ii) chuyển đổi thành giá trị băm (hash values).

5.         Yêu cầu sự đồng ý "cho từng lần" khi chuyển dữ liệu

Nghị Định 356/2025 đưa ra tiêu chuẩn đồng ý nghiêm ngặt đối với việc chuyển dữ liệu cá nhân, đặc biệt tác động đến việc chuyển từ Bên kiểm soát dữ liệu sang Bên xử lý dữ liệu và các hoạt động chuyển giao khác cần sự đồng ý của chủ thể dữ liệu. Nghị Định 356/2025 bắt buộc các tổ chức phải xin sự đồng ý của chủ thể dữ liệu trên cơ sở từng trường hợp cụ thể (từng lần) cho mỗi hoạt động chuyển dữ liệu. Điều này ngụ ý rằng sự đồng ý chung hoặc "bao quát" có được ở giai đoạn thu thập ban đầu có thể bị coi là không đủ. Thay vào đó, Bên kiểm soát dữ liệu phải xin sự đồng ý riêng biệt, cụ thể cho từng hành vi chuyển dữ liệu cho bên thứ ba.

Yêu cầu này tạo ra gánh nặng tuân thủ và rủi ro vận hành đáng kể cho các hoạt động xử lý tự động. Ví dụ, đối với các nhà cung cấp dịch vụ xử lý các giao dịch lặp đi lặp lại với số lượng lớn cho cùng một mục đích với cùng một người nhận (Ví dụ: các trung gian thanh toán xử lý phí thuê bao hàng tháng hoặc các nền tảng thương mại điện tử xử lý các đơn hàng định kỳ), việc diễn giải nghiêm ngặt quy định này có thể yêu cầu các đơn vị xử lý phải chủ động xin sự đồng ý cho từng giao dịch đơn lẻ.

6.         Sự trùng lặp và chồng chéo khái niệm với Luật BVDLCN 2025

Nghị Định 356/2025 chứa một số quy định có vẻ lặp lại hoặc không nhất quán về mặt khái niệm với các định nghĩa được đưa ra trong Luật BVDLCN 2025.

• Quy định lặp lại về chuyển dữ liệu ra nước ngoài: Nghị Định 356 phần lớn sao chép định nghĩa về chuyển dữ liệu ra nước ngoài đã được thiết lập trong Luật BVDLCN 2025, tạo ra sự dư thừa không cần thiết về mặt lập pháp. Điểm bổ sung đáng chú ý duy nhất trong Nghị Định 356 là việc đưa rõ "dịch vụ điện toán đám mây của nhà cung cấp dịch vụ nước ngoài" vào phạm vi này. Ngoài việc không nhất quán với Luật BVDLCN 2025, sự bổ sung này phân loại rõ ràng việc sử dụng các dịch vụ đám mây nước ngoài (Ví dụ: AWS, Azure, Google Cloud) là hoạt động chuyển dữ liệu ra nước ngoài, bất kể vị trí vật lý của máy chủ.

• Xung đột thuật ngữ: "ẩn danh" vs "mã hóa": Có sự chồng chéo đáng kể về mặt khái niệm giữa định nghĩa "ẩn danh" trong Nghị Định 356/2025 và "mã hóa" theo Luật BVDLCN 2025. Việc gộp chung các thuật ngữ này có thể dẫn đến sự nhầm lẫn trong tuân thủ, vì các tổ chức có thể gặp khó khăn trong việc phân biệt liệu họ đang áp dụng biện pháp "ẩn danh" hay "mã hóa".

7.         Giải quyết các vướng mắc và xung đột trong khuôn khổ Luật BVDLCN 2025

• Đồng bộ hóa với Luật Dữ Liệu 2024 về dữ liệu cốt lõi và dữ liệu quan trọng: Nghị Định 356/2025 làm rõ rằng đối với dữ liệu cốt lõi hoặc dữ liệu quan trọng cũng được phân loại là dữ liệu cá nhân, các yêu cầu về (i) biện pháp bảo vệ dữ liệu và (ii) thủ tục nộp hồ sơ TIA (Đánh giá tác động chuyển dữ liệu) và DPIA (Đánh giá tác động xử lý dữ liệu) cho việc xử lý và chuyển dữ liệu ra nước ngoài sẽ tuân theo Luật BVDLCN 2025 và Nghị Định 356/2025. Quy định này giải quyết hiệu quả xung đột tiềm tàng với Luật Dữ Liệu 2024 (nơi có thể yêu cầu đánh giá rủi ro trùng lặp) (xem thêm phân tích tại đây), đảm bảo một khung pháp lý thống nhất và gắn kết cho quản trị dữ liệu.

• Thay thế Nghị Định 13: Nghị Định 356/2025 chính thức quy định rằng nó thay thế Nghị Định 13/2023, trở thành nghị định pháp lý chính hướng dẫn Luật BVDLCN 2025. Điều này giải quyết sự mơ hồ trước đây liên quan đến hiệu lực chuyển tiếp của Nghị Định 13/2023 (xem thảo luận tại đây).

Bài viết được viết bởi Trịnh Phương Thảo.