Dữ liệu cá nhân gồm những thông tin nào? Quy định về dữ liệu cá nhân

Dữ liệu cá nhân là gì? Quy định về dữ liệu cá nhân 2025

Ngày đăng - 24/05/2024

Luật sư Nguyễn Lâm Sơn Tư vấn Nghị định 13/2023/NĐ-CP, Tư vấn Luật bảo vệ dữ liệu cá nhân

Dữ liệu cá nhân là gì và các quy định về dữ liệu cá nhân nào doanh nghiệp cần tuân thủ là câu hỏi nền tảng trong bối cảnh pháp lý hiện nay. Tại DPVN, chúng tôi cung cấp định nghĩa dữ liệu cá nhân chính xác và phân tích sâu các quy định, giúp bạn xác định và bảo vệ thông tin cá nhân một cách hiệu quả.

Dữ liệu cá nhân được định nghĩa pháp lý như thế nào?

Theo Khoản 1, Điều 2 Nghị định 13/2023/NĐ-CP, dữ liệu cá nhân được định nghĩa là “thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể”.

Đây là một định nghĩa có phạm vi rất rộng, được thiết kế để bao quát mọi loại thông tin có thể liên quan đến một cá nhân trong kỷ nguyên số. Việc hiểu đúng định nghĩa này là bước đầu tiên và quan trọng nhất để một doanh nghiệp có thể xác định các nghĩa vụ tuân thủ của mình. Nếu một thông tin được xem là dữ liệu cá nhân, nó sẽ ngay lập tức được đặt dưới sự bảo vệ của pháp luật.

Về chuyên môn sâu, định nghĩa này nhấn mạnh vào hai yếu tố cốt lõi:

  • Gắn liền với một con người cụ thể: Đây là các thông tin định danh trực tiếp, ví dụ như họ tên, số Căn cước công dân, địa chỉ email có chứa tên.
  • Giúp xác định một con người cụ thể: Đây là các thông tin định danh gián tiếp. Một thông tin riêng lẻ có thể không định danh được ai (ví dụ: một mã bưu chính), nhưng khi kết hợp với các thông tin khác (ví dụ: mã bưu chính + giới tính + ngày sinh), nó có thể giúp xác định một cá nhân cụ thể. Các dữ liệu như địa chỉ IP, mã định danh thiết bị, hay lịch sử duyệt web (cookies) đều thuộc nhóm này.

Định nghĩa này sẽ tiếp tục là nền tảng trong Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15, cho thấy tính ổn định và tầm quan trọng của nó trong hệ thống pháp luật Việt Nam.

Những loại dữ liệu nào được coi là dữ liệu cá nhân của bản thân và được pháp luật phân loại ra sao?

Pháp luật Việt Nam, cụ thể là Nghị định 13/2023/NĐ-CP, phân loại dữ liệu cá nhân thành hai nhóm chính: Dữ liệu cá nhân cơ bản và Dữ liệu cá nhân nhạy cảm. Việc phân loại dữ liệu cá nhân này giúp xác định mức độ bảo vệ cần thiết và các nghĩa vụ tuân thủ tương ứng của doanh nghiệp.

Việc nhận diện và phân loại chính xác các loại dữ liệu mà doanh nghiệp đang xử lý là một yêu cầu tuân thủ cơ bản.

1. Dữ liệu cá nhân cơ bản

Đây là nhóm dữ liệu định danh phổ biến, thường được sử dụng trong các giao dịch hàng ngày. Khoản 3, Điều 2 Nghị định 13 đã liệt kê 11 nhóm dữ liệu cá nhân cơ bản, bao gồm các ví dụ về dữ liệu cá nhân như: họ tên, ngày sinh, giới tính, quốc tịch, hình ảnh cá nhân, số điện thoại, số CCCD, tình trạng hôn nhân, thông tin tài khoản số…

2. Dữ liệu cá nhân nhạy cảm

Đây là nhóm dữ liệu có rủi ro cao, gắn liền với quyền riêng tư sâu sắc và khi bị xâm phạm có thể gây ảnh hưởng nghiêm trọng. Khoản 4, Điều 2 Nghị định 13 đã liệt kê 10 nhóm dữ liệu cá nhân nhạy cảm, bao gồm:

💡 Luật sư Nguyễn Lâm Sơn chia sẻ: “Trong quá trình tư vấn, chúng tôi nhận thấy nhiều doanh nghiệp chỉ nghĩ rằng mình chỉ xử lý dữ liệu cơ bản. Nhưng khi rà soát kỹ, họ phát hiện ra mình đang xử lý cả dữ liệu nhạy cảm. Ví dụ, một công ty sử dụng máy chấm công bằng vân tay, hoặc một ứng dụng có tính năng check-in, đều đang xử lý dữ liệu nhạy cảm. Việc nhận diện chính xác điều này là cực kỳ quan trọng vì nó kích hoạt các nghĩa vụ pháp lý bổ sung, như phải chỉ định nhân sự phụ trách bảo vệ dữ liệu.”

Quyền của chủ thể dữ liệu cá nhân theo pháp luật là gì?

Pháp luật Việt Nam trao cho chủ thể dữ liệu một bộ công cụ pháp lý mạnh mẽ với 11 quyền cụ thể được quy định tại Điều 9 Nghị định 13/2023/NĐ-CP. Các quyền này cho phép cá nhân kiểm soát thông tin của mình, từ quyền được biết, quyền đồng ý, truy cập, chỉnh sửa, cho đến quyền yêu cầu xóa, khiếu nại và yêu cầu bồi thường thiệt hại.

Việc hiểu rõ các quyền này giúp mỗi cá nhân có thể chủ động bảo vệ mình. Đây là những quyền mà mọi tổ chức, doanh nghiệp đều có nghĩa vụ phải tôn trọng và tạo điều kiện để thực thi. Để có hướng dẫn chi tiết về cách thực hiện, bạn có thể tham khảo bài viết: Thực hiện quyền của chủ thể dữ liệu cá nhân như thế nào?

Các tổ chức, cá nhân xử lý dữ liệu cá nhân có những nghĩa vụ gì?

Các tổ chức, cá nhân, tùy thuộc vào vai trò của mình là Bên Kiểm soát hay Bên Xử lý, đều có một loạt các nghĩa vụ pháp lý. Các nghĩa vụ cốt lõi bao gồm việc phải tuân thủ 8 nguyên tắc bảo vệ dữ liệu, áp dụng các biện pháp bảo vệ phù hợp, và thực hiện các thủ tục hành chính bắt buộc như lập Hồ sơ đánh giá tác động.

Việc tuân thủ các nghĩa vụ này không chỉ là để tránh bị xử phạt mà còn là nền tảng để xây dựng một chương trình bảo vệ dữ liệu cá nhân trong doanh nghiệp một cách bền vững.

DPVN: Dịch Vụ Tư Vấn Toàn Diện Về Quy Định Dữ Liệu Cá Nhân

Việc điều hướng các quy định phức tạp về dữ liệu cá nhân đòi hỏi sự am hiểu sâu sắc về pháp luật.

Đội ngũ chuyên gia của DPVN, với sự dẫn dắt của Luật sư Nguyễn Lâm Sơn, sẽ giúp doanh nghiệp của bạn xây dựng một chiến lược tuân thủ toàn diện, từ việc phân loại dữ liệu đến việc hoàn thiện các thủ tục pháp lý. Hãy liên hệ với chúng tôi để được tư vấn:

Hotline: 0982976486

Email: lamson@baovedlcn.vn

Địa chỉ: Tầng 6 Tòa Star Tower, Phố Trương Công Giai, Phường Yên Hòa, Thành Phố Hà Nội

Câu hỏi thường gặp về Dữ liệu cá nhân

1. Dữ liệu của một người đã chết có được coi là dữ liệu cá nhân không?

Theo Nghị định 13, có. Dữ liệu cá nhân bao gồm cả “ngày, tháng, năm chết hoặc mất tích”. Việc xử lý dữ liệu này đòi hỏi phải có sự đồng ý của người thân theo thứ tự ưu tiên. Xem chi tiết tại: Quy định về xử lý dữ liệu cá nhân của người đã chết hoặc mất tích.

2. Dữ liệu của một công ty có phải là dữ liệu cá nhân không?

Không. Dữ liệu cá nhân chỉ là thông tin gắn với một “con người cụ thể” (natural person). Thông tin của một pháp nhân (tên công ty, mã số thuế, địa chỉ trụ sở) không phải là dữ liệu cá nhân. Tuy nhiên, thông tin của người đại diện theo pháp luật hoặc nhân viên trong công ty đó (ví dụ: email `tên.người@têncôngty.com`) lại là dữ liệu cá nhân.

3. Dữ liệu đã được ẩn danh có còn là dữ liệu cá nhân không?

Theo Luật 91/2025/QH15, dữ liệu sau khi đã được khử nhận dạng (anonymized) thành công và không còn khả năng xác định một con người cụ thể thì không còn là dữ liệu cá nhân nữa. Đây là một điểm mới quan trọng của Luật.

4. Dữ liệu cá nhân có phải là tài sản không?

Không. Theo quan điểm của pháp luật Việt Nam, dữ liệu cá nhân không phải là tài sản có thể mua bán, mà là một phần không thể tách rời của quyền nhân thân. Xem phân tích chi tiết tại: Dữ liệu cá nhân có phải là tài sản không?

5. Làm thế nào để biết một thông tin có phải là dữ liệu cá nhân hay không?

Hãy đặt câu hỏi: “Từ thông tin này, hoặc khi kết hợp nó với các thông tin khác mà tôi có, tôi có thể xác định được một con người cụ thể không?”. Nếu câu trả lời là “Có”, thì đó chính là dữ liệu cá nhân.

Nguồn tham khảo:

  1. Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân: https://thuvienphapluat.vn/van-ban/Cong-nghe-thong-tin/Nghi-dinh-13-2023-ND-CP-bao-ve-du-lieu-ca-nhan-562955.aspx
  2. Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15: https://thuvienphapluat.vn/van-ban/Bo-may-hanh-chinh/Luat-Bao-ve-du-lieu-ca-nhan-2025-so-91-2025-QH15-625628.aspx
  3. Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân: https://baovedlcn.gov.vn
  4. Bộ luật Dân sự 2015: https://thuvienphapluat.vn/van-ban/Quyen-dan-su/Bo-luat-dan-su-2015-296249.aspx
  5. What is personal data? – Information Commissioner’s Office (UK): https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/key-definitions/what-is-personal-data/
Liên hệ với DPVN để được tư vấn miễn phí
Hotline 0982976486