Câu hỏi “Chuyển giao và mua bán dữ liệu cá nhân có cần khử nhận dạng không?“ đang là mối quan tâm hàng đầu của các doanh nghiệp, đặc biệt khi Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 và Nghị định 356/2025/NĐ-CP chính thức có hiệu lực từ ngày 01/01/2026. DPVN khẳng định: Khử nhận dạng là điều kiện tiên quyết bắt buộc để hợp pháp hóa các giao dịch dữ liệu trên sàn, đồng thời là biện pháp bảo mật cốt lõi khi chuyển giao dữ liệu nhạy cảm hoặc xuyên biên giới.
Nội dung chính: Bài viết này phân tích sâu về sự khác biệt pháp lý giữa chuyển giao và mua bán, các trường hợp bắt buộc khử nhận dạng, và hướng dẫn kỹ thuật giúp doanh nghiệp tránh án phạt lên tới 5% doanh thu.
Chuyển giao và mua bán dữ liệu cá nhân khác nhau như thế nào dưới góc độ pháp lý?
Chuyển giao là hoạt động chia sẻ dữ liệu phục vụ mục đích xử lý cụ thể (thường có sự đồng ý hoặc theo hợp đồng), trong khi mua bán là hành vi chuyển nhượng quyền sở hữu/sử dụng nhằm mục đích thương mại. Theo phân biệt chuyển giao và mua bán dữ liệu cá nhân xuyên biên giới, hành vi mua bán bị hạn chế nghiêm ngặt và chỉ được phép thực hiện trên sàn giao dịch dữ liệu với điều kiện dữ liệu đã được khử nhận dạng hoàn toàn.
Để áp dụng đúng biện pháp kỹ thuật, doanh nghiệp cần xác định rõ vị thế của mình:
- Chuyển giao dữ liệu (Data Transfer): Thường diễn ra trong chuỗi cung ứng dịch vụ (ví dụ: chuyển dữ liệu nhân sự cho công ty tính lương, chuyển dữ liệu khách hàng cho đơn vị vận chuyển). Hoạt động này được phép thực hiện khi tuân thủ Điều 17 Nghị định 356/2025/NĐ-CP và có hợp đồng ràng buộc trách nhiệm.
- Mua bán dữ liệu (Data Trading): Là hoạt động kinh doanh dữ liệu để kiếm lời. Luật 91/2025/QH15 nghiêm cấm mua bán dữ liệu cá nhân dưới mọi hình thức, trừ trường hợp pháp luật quy định khác (như giao dịch trên Sàn dữ liệu quốc gia).
DPVN lưu ý: Ranh giới giữa hai hành vi này rất mong manh. Nếu doanh nghiệp chuyển giao dữ liệu có thu phí mà không chứng minh được đó là phí dịch vụ xử lý, cơ quan chức năng có thể quy kết thành hành vi mua bán trái phép. Quý vị có thể tham khảo thêm về chế tài tại bài viết Mua bán dữ liệu cá nhân có thể bị phạt bao nhiêu?.
Khi nào việc chuyển giao dữ liệu bắt buộc phải khử nhận dạng?
Khử nhận dạng là bắt buộc khi giao dịch trên sàn dữ liệu, khi chuyển giao dữ liệu cá nhân nhạy cảm (sức khỏe, tài chính, sinh trắc học…), khi sử dụng công nghệ Blockchain hoặc xử lý Dữ liệu lớn (Big Data). Ngoài ra, khi chuyển dữ liệu ra nước ngoài, đây là biện pháp kỹ thuật trọng yếu để hồ sơ đánh giá tác động được chấp thuận.
Theo Nghị định 356/2025/NĐ-CP, các trường hợp cụ thể yêu cầu khử nhận dạng bao gồm:
| Trường hợp | Quy định pháp lý | Yêu cầu kỹ thuật |
|---|---|---|
| Giao dịch trên Sàn dữ liệu | Khoản 5 Điều 7 Nghị định 356: “Dữ liệu cá nhân phải được khử nhận dạng trước khi giao dịch trên sàn dữ liệu.” | Ẩn danh hóa (Anonymization) mức độ cao, không thể khôi phục. |
| Chuyển giao dữ liệu nhạy cảm | Khoản 2 Điều 7 Nghị định 356: Bắt buộc có biện pháp bảo mật, mã hóa, ẩn danh. | Mã hóa (Encryption), Giả danh hóa (Pseudonymization). |
| Công nghệ Chuỗi khối (Blockchain) | Điểm b Khoản 2 Điều 11 Nghị định 356: Không lưu trữ trực tiếp; chỉ lưu khi đã khử nhận dạng hoặc băm (Hashing). | Hashing, Tokenization. |
| Xử lý Dữ liệu lớn (Big Data) | Điểm c Khoản 3 Điều 9 Nghị định 356: Thực hiện mã hóa, ẩn danh trong quá trình chuyển giao. | Kỹ thuật làm mờ, tổng hợp dữ liệu. |
Để hiểu rõ hơn về các kỹ thuật này, Quý vị có thể tham khảo bài viết Khử nhận dạng dữ liệu cá nhân là gì?.
Tại sao giao dịch trên sàn dữ liệu yêu cầu khử nhận dạng tuyệt đối?
Để đảm bảo nguyên tắc “bảo vệ quyền riêng tư”, dữ liệu thương mại hóa phải được tách rời khỏi danh tính cá nhân. Nếu bên mua có thể xác định lại (Re-identify) danh tính chủ thể từ dữ liệu đã mua, giao dịch đó lập tức trở thành hành vi mua bán dữ liệu cá nhân trái phép và bị xử phạt nghiêm khắc.
Sàn giao dịch dữ liệu là một mô hình mới được pháp luật Việt Nam cho phép, nhưng đi kèm điều kiện kỹ thuật rất cao. Dữ liệu đưa lên sàn không được chứa các trường thông tin định danh trực tiếp (như Họ tên, CCCD, SĐT) ở dạng rõ (clear text). Ngay cả các trường thông tin gián tiếp cũng phải được làm mờ hoặc tổng hợp để ngăn chặn khả năng suy luận ngược.
Ví dụ minh họa: Một công ty nghiên cứu thị trường muốn mua dữ liệu hành vi tiêu dùng từ một nền tảng thương mại điện tử. Dữ liệu chuyển giao chỉ được bao gồm: “Nam, độ tuổi 25-30, khu vực Hà Nội, sở thích đồ công nghệ”, thay vì “Nguyễn Văn A, SĐT 098xxx, địa chỉ Cầu Giấy, vừa mua iPhone 15”.
Vai trò của khử nhận dạng trong chuyển dữ liệu ra nước ngoài
Trong hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài (Mẫu 09), doanh nghiệp phải chứng minh các biện pháp bảo vệ dữ liệu. Việc áp dụng khử nhận dạng hoặc mã hóa là bằng chứng thuyết phục nhất để Bộ Công an đánh giá hồ sơ “Đạt”, đặc biệt với dữ liệu nhạy cảm.
Khi dữ liệu vượt qua biên giới quốc gia, rủi ro về an ninh tăng lên gấp bội. Doanh nghiệp cần trả lời câu hỏi: Có phải khử nhận dạng và mã hóa dữ liệu cá nhân khi chuyển xuyên biên giới không? Câu trả lời là CÓ, nếu muốn đảm bảo an toàn tối đa. Tại Mục 13 của Mẫu số 09 (Báo cáo đánh giá tác động), doanh nghiệp cần mô tả chi tiết quy trình này.
Hơn nữa, nếu doanh nghiệp sử dụng dịch vụ Cloud Server nước ngoài, việc lưu trữ dữ liệu dưới dạng đã mã hóa hoặc khử nhận dạng sẽ giúp giảm thiểu trách nhiệm pháp lý trong trường hợp nhà cung cấp dịch vụ gặp sự cố rò rỉ dữ liệu. Tham khảo thêm: Lưu trữ đám mây nước ngoài có phải là chuyển dữ liệu xuyên biên giới không?.
Chế tài xử phạt nếu vi phạm quy định khử nhận dạng
Hành vi chuyển giao, mua bán dữ liệu mà không tuân thủ quy định về khử nhận dạng và bảo vệ dữ liệu có thể bị phạt tiền lên đến 5% tổng doanh thu năm tài chính liền kề hoặc phạt tiền tới 03 tỷ đồng, tùy theo mức độ vi phạm, theo Điều 8 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15.
Mức phạt này được đánh giá là rất nặng, thể hiện sự quyết liệt của cơ quan quản lý. Doanh nghiệp không chỉ mất tiền mà còn đối mặt với nguy cơ bị đình chỉ hoạt động xử lý dữ liệu, tước giấy phép kinh doanh dịch vụ và tổn hại nghiêm trọng đến uy tín thương hiệu.
Để tránh rủi ro này, ngay khi phát hiện sự cố hoặc vi phạm, doanh nghiệp cần thực hiện ngay thủ tục Thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân tới cơ quan chức năng trong vòng 72 giờ.
Bạn đang bối rối về quy trình khử nhận dạng dữ liệu chuẩn luật?
Đừng để thiếu sót về kỹ thuật trở thành rào cản pháp lý. Hãy để các chuyên gia của DPVN hỗ trợ bạn xây dựng giải pháp bảo vệ dữ liệu toàn diện.
DPVN – Trung Tâm Tư Vấn Pháp Luật Về Bảo Vệ Dữ Liệu Cá Nhân
Hotline: 0982976486
Email: info@baovedlcn.vn
Địa chỉ: Tầng 6 Tòa Star Tower, Phố Trương Công Giai, Phường Yên Hòa, Thành Phố Hà Nội
Câu hỏi thường gặp (FAQ)
1. Dữ liệu đã khử nhận dạng có còn được coi là dữ liệu cá nhân không?
Theo khoản 1 Điều 2 Luật 91/2025/QH15: “Dữ liệu cá nhân sau khi khử nhận dạng không còn là dữ liệu cá nhân” NẾU không thể xác định được cá nhân cụ thể. Tuy nhiên, nếu vẫn có thể dùng biện pháp kỹ thuật để khôi phục lại danh tính (Re-identify), nó vẫn chịu sự điều chỉnh của luật.
2. Chuyển dữ liệu lương cho công ty dịch vụ kế toán có cần khử nhận dạng không?
Nếu mục đích là tính lương cho từng nhân viên, bạn không thể ẩn danh hóa hoàn toàn. Tuy nhiên, bạn bắt buộc phải áp dụng biện pháp mã hóa dữ liệu cá nhân (như đặt mật khẩu file, mã hóa đường truyền) để bảo vệ dữ liệu tài chính nhạy cảm này.
3. Doanh nghiệp kinh doanh dịch vụ xử lý dữ liệu có cần giấy phép không?
Có. Theo Điều 22 và Điều 25 Nghị định 356/2025/NĐ-CP, doanh nghiệp kinh doanh dịch vụ xử lý dữ liệu phải đáp ứng điều kiện về nhân sự, hạ tầng và được Bộ Công an cấp Giấy chứng nhận đủ điều kiện kinh doanh dịch vụ xử lý dữ liệu cá nhân.
4. Khử nhận dạng (De-identification) và Ẩn danh hóa (Anonymization) khác nhau thế nào?
Khử nhận dạng là loại bỏ thông tin định danh nhưng vẫn có thể khôi phục nếu có mã khóa. Ẩn danh hóa là quá trình xử lý khiến dữ liệu không thể khôi phục lại danh tính chủ thể ban đầu vĩnh viễn. Ẩn danh hóa có mức độ bảo mật cao hơn và thường được yêu cầu khi công khai dữ liệu.
5. Doanh nghiệp nhỏ có được miễn thực hiện các quy định này không?
Theo Điều 41 Nghị định 356/2025/NĐ-CP, doanh nghiệp siêu nhỏ được miễn thực hiện một số nghĩa vụ trong 05 năm đầu, TRỪ KHI kinh doanh dịch vụ xử lý dữ liệu hoặc xử lý dữ liệu nhạy cảm/số lượng lớn (từ 100.000 chủ thể trở lên).
Nguồn tham khảo:
- Cổng thông tin điện tử Chính phủ: Nghị định 356/2025/NĐ-CP quy định chi tiết Luật Bảo vệ dữ liệu cá nhân.
- Thư viện Pháp luật: Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15.
- Bộ Công an: Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân.
- DPVN: Các bài viết chuyên sâu về nguyên tắc bảo vệ dữ liệu cá nhân.
- NIST: Guide to De-identification of Personal Health Information.
