Khi các doanh nghiệp xem xét về vấn đề bảo vệ dữ liệu, họ thường tập trung vào những dữ liệu “hữu hình” như họ tên, địa chỉ email hoặc các thông tin ngân hàng. Tuy nhiên, tồn tại một lớp dữ liệu ẩn gọi là dữ liệu đặc tả (metadata) – về cơ bản là “dữ liệu về dữ liệu” - thường bị bỏ qua.

Theo các quy định pháp lý mới về bảo vệ dữ liệu cá nhân tại Việt Nam, việc bỏ qua dữ liệu đặc tả tiềm ẩn rủi ro đáng kể. Nếu dữ liệu đặc tả có thể được sử dụng để nhận diện một cá nhân cụ thể, nó sẽ chịu sự điều chỉnh của các quy định pháp lý nghiêm ngặt tương tự như dữ liệu cá nhân thông thường.

Dữ Liệu Đặc Tả Là Gì? “Dấu Vết Kỹ Thuật Số”

Dữ liệu đặc tả là thông tin mô tả bối cảnh của một tập tin hoặc tin nhắn, thay vì nội dung trực tiếp bên trong. Ngay cả khi họ tên của một cá nhân bị xóa khỏi tập tin, dữ liệu đặc tả vẫn có thể chỉ ra chính xác người đó.

Ví dụ, một công ty chia sẻ một báo cáo nội bộ sau khi xóa tên tác giả để đảm bảo tính ẩn danh. Tuy nhiên, thuộc tính của tập tin (dữ liệu đặc tả) vẫn hiển thị một “Mã Tác Giả” duy nhất và dấu thời gian “Chỉnh Sửa Lần Cuối Bởi” liên kết với một máy tính cụ thể. Mặc dù họ tên đã bị xóa, dữ liệu đặc tả vẫn xác định chính xác ai là người soạn thảo tài liệu.

Mâu Thuẫn Pháp Lý: Hai Cách Tiếp Cận Để Giải Thích Luật

Luật Bảo Vệ Dữ liệu Cá Nhân 2025 (LBVDLCN 2025) và Nghị Định 356/2025 quy định về dữ liệu cá nhân theo cách có thể gây nhầm lẫn. Luật định nghĩa dữ liệu cá nhân là; “dữ liệu số hoặc thông tin dưới dạng khác xác định hoặc giúp xác định một con người cụ thể, bao gồm: dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm.”Trong đó, dữ liệu cá nhân cơ bản được phân loại thêm là thông tin phản ánh: “yếu tố nhân thân, lai lịch phổ biến, thường xuyên sử dụng trong các giao dịch, quan hệ xã hội.”

Vấn đề phát sinh là dữ liệu đặc tả thường hỗ trợ xác định danh tính một cá nhân mà không thực sự phản ánh các yếu tố nhân thân này hoặc không được sử dụng phổ biến trong tương tác xã hội. Điều này dẫn đến hai luồng giải thích trái chiều:

·         Cách giải thích 1 (Hẹp): Dữ liệu đặc tả chỉ được coi là dữ liệu cá nhân nếu nó khớp với định nghĩa hẹp về "dữ liệu cá nhân cơ bản" - nghĩa là phải phản ánh các yếu tố nhân thân phổ biến trong giao dịch xã hội. Theo quan điểm này, doanh nghiệp có thể lập luận rằng các bản ghi chép kỹ thuật chỉ là dữ liệu máy, không phải dữ liệu cá nhân, bất kể khả năng chỉ ra một cá nhân cụ thể.

·         Cách giải thích 2 (Rộng): Theo Điều 3 Nghị Định 356/2025, dữ liệu cá nhân cơ bản còn bao gồm "các thông tin khác gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể." Cách hiểu này hàm ý rằng bất kỳ dữ liệu đặc tả nào cũng chịu sự điều chỉnh của pháp luật ngay khi nó cho phép xác định danh tính - dù nó có liên quan đến lai lịch hoặc yếu tố nhân thân hay không.

"Bẫy" Xác Định Danh Tính

Một sai lầm phổ biến trong chiến lược dữ liệu là cho rằng dữ liệu đặc tả kỹ thuật - giống như Mã phần cứng của thiết bị - chỉ là "một chuỗi số" và do đó được miễn trừ khỏi các luật về quyền riêng tư. Tuy nhiên, theo LBVDLCN 2025 của Việt Nam, ranh giới giữa các bản ghi kỹ thuật và dữ liệu cá nhân là cực kỳ mong manh.

Xét ví dụ về một trung tâm thương mại vận hành một cơ sở dữ liệu Khách hàng Thân Thiết (chứa tên khách hàng liên kết với các Mã thiết bị). Trung tâm này cung cấp "Wi-Fi Miễn Phí" và hệ thống tự động ghi lại địa chỉ MAC (Mã định danh phần cứng vĩnh viễn) của bất kỳ điện thoại nào cố gắng kết nối. Mục tiêu rất đơn giản: khi khách hàng thân thiết kết nối, trang Wi-Fi chào mừng sẽ tự động hiển thị họ tên riêng của họ.

Bên trung tâm thương mại có thể lầm tưởng rằng đây không phải là "xử lý dữ liệu cá nhân" vì họ không theo dõi hành vi hay thu thập họ tên mới - họ chỉ khớp một mã số phần cứng với hồ sơ sẵn có. Tuy nhiên, thực tế pháp lý phụ thuộc vào việc phân loại địa chỉ MAC đó:

·         Cách giải thích 1 (Hẹp): Bên trung tâm thương mại lập luận rằng địa chỉ MAC là một chuỗi kỹ thuật không phản ánh các yếu tố định danh truyền thống, do đó nằm ngoài định nghĩa dữ liệu cá nhân cơ bản và được miễn trừ.

·         Cách giải thích 2 (Rộng): Đây là nơi rủi ro pháp lý phát sinh. Vì trung tâm thương mại đã sở hữu cơ sở dữ liệu Khách Hàng Thân Thiết nên địa chỉ MAC đóng vai trò là "chìa khóa" duy nhất để định danh cá nhân. Theo Nghị Định 356/2025, vì dữ liệu đặc tả này hỗ trợ xác định một cá nhân cụ thể, nó được phân loại là dữ liệu cá nhân cơ bản ngay tại thời điểm được thu thập.

Dưới cách diễn giải rộng, doanh nghiệp trở thành bên kiểm soát dữ liệu đối với dữ liệu về địa chỉ MAC ngay từ đầu. Việc không có được sự đồng ý rõ ràng, và được thông báo đầy đủ tại thời điểm thu thập địa chỉ MAC, khiến toàn bộ quá trình thu thập dữ liệu trong quá khứ trở thành bất hợp pháp. Do luật coi địa chỉ MAC là dữ liệu cá nhân, việc thiếu sự đồng ý đồng nghĩa với việc trung tâm thương mại không được phép sử dụng bất kỳ dữ liệu nào đã thu thập. Nếu sau đó bên trung tâm sử dụng các hồ sơ này cho mục đích thứ cấp - như lập báo cáo lưu lượng khách hoặc bản đồ nhiệt - mọi kết quả phân tích đều bị coi là sản phẩm của quá trình xử lý trái phép.

Hệ Quả Đối Với Doanh Nghiệp: Phương Pháp Tiếp Cận Thận Trọng

Đối với các doanh nghiệp tại Việt Nam, việc quản lý dữ liệu đặc tả cần được xem xét như một yêu cầu pháp lý nghiêm ngặt thay vì chỉ là vấn đề kỹ thuật.

Để đảm bảo tuân thủ, doanh nghiệp nên thực hiện ba bước sau:

·         Rà Soát Bản Ghi Kỹ Thuật: Thực hiện kiểm tra toàn diện các địa chỉ IP, dấu thời gian và Mã thiết bị để xác định khả năng liên kết ngược lại với cá nhân ngoài đời thật.

·         Xem Dữ Liệu Đặc Tả là Dữ Liệu Cá Nhân: Theo LBVDLCN 2025, định nghĩa rộng về dữ liệu cá nhân bao gồm tất cả thông tin "định danh hoặc giúp xác định" cá nhân. Vì Nghị Định 356/2025 củng cố khả năng “nhân dạng” này, chiến lược an toàn nhất là xử lý tất cả dữ liệu đặc tả có tính định danh như dữ liệu cá nhân cơ bản để tránh các hình phạt không lường trước được.

·         Giám Sát Bên Xử Lý Dữ Liệu: Đảm bảo các bên xử lý dữ liệu thứ ba bảo vệ dữ liệu đặc tả với cùng cấp độ ưu tiên như dữ liệu chính, bao gồm việc loại bỏ hoặc ẩn dữ liệu đặc tả trong quá trình khử nhận dạng.

Sau cùng, việc tuân thủ LBVDLCN 2025 đòi hỏi sự cảnh giác thường trực đối với những "dấu vết kỹ thuật số" tiềm ẩn mà các biện pháp bảo mật truyền thống thường bỏ qua.

Bài viết được thực hiện bởi Nguyễn Thục Anh.