Ngày 31/12/2025, Chính phủ ban hành Nghị định 356/2025/NĐ-CP quy định chi tiết một số điều của Luật Bảo vệ dữ liệu cá nhân, Nghị định có hiệu lực từ ngày 01/01/2026, thay thế cho Nghị định 13/2023/NĐ-CP. Theo đó, tại Nghị định 356/2025/NĐ-CP này đã quy định nhiều nội dung điểm mới liên quan đến quản lý và sử dụng dữ liệu cá nhân.
- Điểm mới đầu tiên đó chính là tại Điều 3 Nghị định 356/2025/NĐ-CP đã mở rộng thêm nội hàm của dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm.
Cụ thể, trong dữ liệu cá nhân cơ bản theo quy định mới đã bổ sung thông tin về vợ/chồng. Quy định cũ tại khoản 3 Điều 2 Nghị định số 13/2023/NĐ-CP chỉ quy định thông tin về mối quan hệ gia đình gồm: Cha, mẹ và con cái.
Danh mục dữ liệu cá nhân nhạy cảm cũng bổ sung và làm rõ thêm như: Dữ liệu theo dõi hành vi, hoạt động sử dụng dịch vụ viễn thông, mạng xã hội, dịch vụ truyền thông trực tuyến và các dịch vụ khác trên không gian mạng.
Trong lĩnh vực ngân hàng, dữ liệu cá nhân nhạy cảm gồm: Tên đăng nhập, mật khẩu truy cập của tài khoản ngân hàng; thông tin thẻ ngân hàng, dữ liệu về lịch sử giao dịch của tài khoản ngân hàng; thông tin tài chính, tín dụng và các thông tin về hoạt động.
Lịch sử giao dịch tài chính, chứng khoán, bảo hiểm của khách hàng tại các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, chứng khoán, bảo hiểm, các tổ chức được phép khác cũng được xếp vào dữ liệu cá nhân nhạy cảm.
- Điểm mới tiếp theo là quy định cụ thể thời gian thực hiện các quyền của chủ thể dữ liệu cá nhân. Cụ thể, chủ thể dữ liệu có các quyền như rút lại sự đồng ý cho phép xử lý dữ liệu cá nhân, hạn chế xử lý dữ liệu cá nhân hay phản đối xử lý dữ liệu cá nhân thì bên kiểm soát/xử lý dữ liệu phải có phản hồi trong vòng 02 ngày làm việc. Đồng thời thực hiện các yêu cầu này trong 15 ngày (liên quan bên xử lý bên thứ ba thì trong vòng 20 ngày).
Đối với các yêu cầu xem/chỉnh sửa/cung cấp dữ liệu cá nhân thì bên kiểm soát/xử lý dữ liệu phải thực hiện trong 10 ngày. Trường hợp có yêu cầu xóa dữ liệu cá nhân thì thực hiện trong 20 ngày.
- Đề cao sự đồng ý của chủ thể dữ liệu
Bên cạnh đó, tại Điều 5 Nghị định 356/2025/NĐ-CP cũng quy định một trong những nguyên tắc quan trọng khi xử lý dữ liệu cá nhận là phải có sự đồng ý của chủ thể dữ liệu. Sự đồng ý phải dành cho các mục đích cụ thể đã được liệt kê và được thể hiện rõ ràng bằng văn bản, giọng nói hoặc đánh dấu vào ô đồng ý.
Bên kiểm soát và xử lý dữ liệu không được thiết lập phương thức mặc định đồng ý hoặc tạo ra các chỉ dẫn không rõ ràng, gây hiểu lầm giữa đồng ý và không đồng ý cho chủ thể dữ liệu. Đồng thời phải lưu trữ sự đồng ý của chủ thể dữ liệu. Trong trường hợp có tranh chấp, trách nhiệm chứng minh sự đồng ý của chủ thể dữ liệu thuộc về bên kiểm soát/xử lý dữ liệu.
Quy định này đã chấm dứt hoàn toàn việc "ngầm hiểu" sự đồng ý của chủ thể dữ liệu, trao lại quyền cho cá nhân, chấm dứt các hành vi mập mờ như sử dụng các ô đồng ý được đánh dấu sẵn.
- Quy định chi tiết về “chuyển giao dữ liệu cá nhân”: Tại Điều 7, Nghị định 356 hướng dẫn chi tiết về việc chuyển giao dữ liệu cá nhân:
+ Phải xác lập thỏa thuận chuyển giao và liệt kê tối thiểu các nội dung (mục đích; loại dữ liệu; thời hạn; cơ sở pháp lý; trách nhiệm bảo vệ; trách nhiệm thực hiện quyền chủ thể; phối hợp khi vi phạm…)
+ Chuyển giao dữ liệu nhạy cảm: yêu cầu bảo mật vật lý, mã hóa/ẩn danh, biện pháp khác;
+ Trường hợp chuyển giao có thu phí để cung cấp dịch vụ/ phục vụ lợi ích hợp pháp của chủ thể: Phải thiết lập hệ thống kỹ thuật, cơ chế minh bạch để chủ thể dữ liệu cá nhân đồng ý chính xác, rõ ràng theo từng lần chuyển giao; Chỉ được xử lý dữ liệu cá nhân đúng cho mục đích chuyển giao được chủ thể dữ liệu cá nhân đồng ý, phù hợp với ngành, nghề đăng ký kinh doanh…
+ Chia sẻ dữ liệu cá nhân trong nội bộ: phải xây dựng quy trình kiểm soát việc chia sẻ, sử dụng dữ liệu cá nhân đúng quy định;
+ Dữ liệu cá nhân phải khử nhận dạng trước khi giao dịch trên sàn dữ liệu;
Trong Nghị định 13, nội dung “chuyển giao” được đề cập chủ yếu ở hướng ngăn thu thập, chuyển giao, mua bán trái phép (Điều 22)
- Dữ liệu cá nhân trong lĩnh vực tài chính, ngân hàng được bảo vệ nghiêm ngặt
Tại Điều 8 Nghị định 356/2025/NĐ-CP thì trong lĩnh vực tài chính, ngân hàng thì bên kiểm soát dữ liệu khi xin sự đồng ý của người dùng thì phải đảm bảo nêu rõ: Các mục đích xử lý dữ liệu cá nhân, bao gồm hoạt động chấm điểm, xếp hạng tín dụng, đánh giá thông tin tín dụng; Thời gian lưu trữ dữ liệu cá nhân; Nguồn thu thập dữ liệu cá nhân và các bên thu thập, chia sẻ dữ liệu cá nhân liên quan...
Trong thời hạn không quá 72 giờ sau khi phát hiện lộ, mất dữ liệu nhạy cảm của chủ thể dữ liệu cá nhân thì tổ chức, cá nhân trực tiếp thu thập dữ liệu cá nhân có trách nhiệm thông báo cho cơ quan chuyên trách bảo vệ dữ liệu cá nhân và chủ thể dữ liệu cá nhân.
- Bảo vệ dữ liệu cá nhân trong AI, Big Data, Blockchain:
Tại Điều 10 Nghị định 356/2025/NĐ-CP cũng đã bổ sung thêm nhiều điều khoản mới hoàn toàn so với quy định cũ là vấn đề bảo vệ dữ liệu cá nhân trong các lĩnh vực công nghệ để kịp thời điều chỉnh trong bối cảnh trí tuệ nhân tạo đang phát triển.
Cụ thể, với hệ thống trí tuệ nhân tạo (AI) và vũ trụ ảo (Metaverse), bên kiểm soát có trách nhiệm thông báo cho chủ thể về việc xử lý tự động. Đồng thời, phải giải thích nguyên tắc hoạt động của thuật toán và cho phép chủ thể chọn không tham gia.
Về công nghệ Chuỗi khối (Blockchain), quy định không lưu trữ trực tiếp dữ liệu cá nhân trên chuỗi khối. Chỉ lưu trữ giá trị băm (hash) hoặc dữ liệu đã được khử định danh.
Với Điện toán đám mây (Cloud), quy định rõ trách nhiệm giữa bên thuê và bên cung cấp dịch vụ trong việc bảo mật. Đối với dữ liệu lớn (Big Data), chỉ thu thập, xử lý và lưu trữ dữ liệu cá nhân đúng phạm vi, phù hợp với mục đích cụ thể, rõ ràng. Đồng thời đưa ra các biện pháp xác thực mạnh, mã hóa và giám sát liên tục.
MINH HẠNH