Dữ liệu cá nhân nhạy cảm là gì và tại sao nó đòi hỏi các biện pháp bảo vệ nâng cao là vấn đề cốt lõi mà doanh nghiệp phải nắm vững. Tại DPVN, chúng tôi sẽ làm rõ định nghĩa, danh sách chi tiết và các nghĩa vụ bảo mật đặc thù, giúp bạn tuân thủ đúng quy định về thông tin riêng tư nhạy cảm.
Định nghĩa và phạm vi của dữ liệu cá nhân nhạy cảm theo pháp luật Việt Nam là gì?
Theo Khoản 4, Điều 2 Nghị định 13/2023/NĐ-CP, dữ liệu cá nhân nhạy cảm là dữ liệu cá nhân gắn liền với quyền riêng tư của cá nhân mà khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp tới quyền và lợi ích hợp pháp của họ. Đây là nhóm dữ liệu có rủi ro cao và được pháp luật đặt dưới một chế độ bảo vệ đặc biệt.
Việc pháp luật lần đầu tiên đưa ra một định nghĩa và danh mục rõ ràng cho dữ liệu cá nhân nhạy cảm là một trong những điểm nổi bật của Nghị định về bảo vệ dữ liệu cá nhân. Không giống các thông tin định danh thông thường, dữ liệu nhạy cảm chạm đến những khía cạnh sâu sắc và riêng tư nhất của một con người, ví dụ như sức khỏe, quan điểm chính trị, thông tin tài chính, hay dữ liệu sinh trắc học.
Về chuyên môn sâu, việc phân loại này dựa trên nguyên tắc đánh giá rủi ro (risk-based approach). Mức độ tác động tiềm tàng khi dữ liệu nhạy cảm bị rò rỉ là cực kỳ nghiêm trọng, có thể dẫn đến sự phân biệt đối xử, lừa đảo tài chính, tổn hại danh dự, hoặc thậm chí là đe dọa đến an toàn thể chất. Do đó, pháp luật yêu cầu các tổ chức phải áp dụng các biện pháp bảo vệ nghiêm ngặt hơn đối với nhóm dữ liệu này. Cách tiếp cận này hoàn toàn tương đồng với khái niệm “Các loại dữ liệu cá nhân đặc biệt” (Special Categories of Personal Data) tại Điều 9 của Quy định chung về bảo vệ dữ liệu (GDPR) của Châu Âu.
Các loại dữ liệu cụ thể nào được coi là dữ liệu cá nhân nhạy cảm?
Nghị định 13/2023/NĐ-CP đã liệt kê một danh sách chi tiết gồm 10 nhóm dữ liệu cá nhân nhạy cảm, bao gồm thông tin về quan điểm chính trị, tôn giáo, tình trạng sức khỏe, nguồn gốc dân tộc, dữ liệu di truyền và sinh trắc học, thông tin tài chính, dữ liệu vị trí và các thông tin riêng tư khác.
Doanh nghiệp cần phải rà soát và xác định chính xác mình có đang xử lý bất kỳ loại dữ liệu nào trong danh sách dữ liệu nhạy cảm dưới đây hay không.
| Nhóm Dữ liệu | Ví dụ dữ liệu nhạy cảm thực tế |
|---|---|
| Quan điểm chính trị, tôn giáo | Thông tin về việc một người là đảng viên, thuộc một tổ chức tôn giáo, hoặc tham gia một hiệp hội chính trị – xã hội. |
| Tình trạng sức khỏe và đời tư | Hồ sơ bệnh án, kết quả xét nghiệm, thông tin về các bệnh đã và đang điều trị (loại trừ thông tin nhóm máu). |
| Nguồn gốc chủng tộc, dân tộc | Thông tin một người thuộc dân tộc Kinh, Tày, Nùng… |
| Đặc điểm di truyền, sinh học | Dữ liệu về gen, dữ liệu sinh trắc học như vân tay, mống mắt, nhận dạng khuôn mặt, giọng nói. |
| Đời sống tình dục, xu hướng tình dục | Các thông tin liên quan đến đời sống riêng tư, giới tính thật của một cá nhân. |
| Dữ liệu về tội phạm, hành vi phạm tội | Thông tin về tiền án, tiền sự được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật. |
| Thông tin khách hàng của tổ chức tín dụng | Toàn bộ thông tin định danh khách hàng của ngân hàng, số tài khoản, số dư, thông tin giao dịch… |
| Dữ liệu về vị trí của cá nhân | Dữ liệu vị trí được xác định qua GPS của điện thoại di động hoặc các dịch vụ định vị khác. |
Doanh nghiệp có những nghĩa vụ và trách nhiệm đặc thù nào khi xử lý dữ liệu cá nhân nhạy cảm?
Khi xử lý dữ liệu cá nhân nhạy cảm, doanh nghiệp phải tuân thủ 3 nghĩa vụ tăng cường được quy định tại Điều 28 Nghị định 13/2023/NĐ-CP: (1) Áp dụng các biện pháp bảo vệ ở mức độ cao hơn; (2) Chỉ định bộ phận và nhân sự phụ trách bảo vệ dữ liệu; và (3) Thông báo cho chủ thể dữ liệu rằng dữ liệu của họ là dữ liệu nhạy cảm đang được xử lý.
Các nghĩa vụ này được đặt ra thêm, bên cạnh các nghĩa vụ chung áp dụng cho mọi loại dữ liệu cá nhân.
Nghĩa vụ 1: Áp dụng các biện pháp bảo vệ nâng cao
Doanh nghiệp phải triển khai các biện pháp quản lý và biện pháp kỹ thuật về bảo vệ dữ liệu cá nhân mạnh mẽ hơn.
- Ví dụ: Một công ty fintech sử dụng eKYC (định danh khách hàng điện tử) bằng nhận dạng khuôn mặt. Thay vì chỉ lưu trữ hình ảnh thông thường, họ phải áp dụng các biện pháp nâng cao như: mã hóa mạnh cơ sở dữ liệu chứa hình ảnh, chuyển đổi dữ liệu khuôn mặt thành các vector sinh trắc học không thể tái tạo lại ảnh gốc, và giới hạn quyền truy cập vào dữ liệu này một cách nghiêm ngặt chỉ cho một số ít nhân viên an ninh.
Nghĩa vụ 2: Chỉ định bộ phận và nhân sự phụ trách bảo vệ dữ liệu
Đây là một yêu cầu bắt buộc. Doanh nghiệp phải có quyết định chính thức về việc thành lập bộ phận bảo vệ dữ liệu cá nhân (có thể kiêm nhiệm) và chỉ định nhân sự phụ trách (thường gọi là DPO – Data Protection Officer). Thông tin về bộ phận và nhân sự này phải được trao đổi với cơ quan chuyên trách (Cục A05) và công khai để chủ thể dữ liệu có thể liên hệ.
💡 Luật sư Nguyễn Lâm Sơn chia sẻ: “Nhiều doanh nghiệp thường bỏ qua bước ban hành quyết định chính thức. Đây là một sai sót lớn. Khi nộp hồ sơ đánh giá tác động, Cục A05 yêu cầu nộp kèm bản sao của quyết định này. Nếu không có, hồ sơ sẽ không hợp lệ. Hơn nữa, việc có một nhân sự được chỉ định rõ ràng giúp tạo ra một đầu mối chịu trách nhiệm, đảm bảo các vấn đề về dữ liệu được xử lý một cách chuyên nghiệp.”
Nghĩa vụ 3: Thông báo cho chủ thể dữ liệu
Ngoài việc thông báo chung về hoạt động xử lý dữ liệu, doanh nghiệp phải thông báo một cách rõ ràng cho chủ thể dữ liệu rằng thông tin mà họ sắp cung cấp là dữ liệu cá nhân nhạy cảm.
Ví dụ thực tế: Một ứng dụng theo dõi sức khỏe trước khi yêu cầu người dùng nhập thông tin về chu kỳ kinh nguyệt hoặc các triệu chứng bệnh, phải có một thông báo rõ ràng: “Thông tin bạn sắp cung cấp là dữ liệu cá nhân nhạy cảm về sức khỏe và sẽ được chúng tôi bảo vệ bằng các biện pháp an ninh cao nhất. Bạn có đồng ý cung cấp không?”.
DPVN: Dịch Vụ Tư Vấn và Xây Dựng Khung Bảo Vệ Dữ Liệu Nhạy Cảm
Việc xử lý dữ liệu cá nhân nhạy cảm đặt ra những thách thức tuân thủ ở mức độ cao nhất. Một sai sót nhỏ có thể dẫn đến những hậu quả pháp lý nghiêm trọng và làm tổn hại sâu sắc đến niềm tin của khách hàng.
Đội ngũ chuyên gia của DPVN, với sự kết hợp giữa chuyên môn pháp lý của Luật sư Nguyễn Lâm Sơn và kiến thức về an ninh mạng, sẵn sàng giúp doanh nghiệp của bạn xây dựng một chương trình bảo vệ dữ liệu nhạy cảm toàn diện. Hãy tìm hiểu thêm tại website baovedlcn.vn hoặc liên hệ trực tiếp:
Hotline: 0982976486
Email: lamson@baovedlcn.vn
Địa chỉ: Tầng 6 Tòa Star Tower, Phố Trương Công Giai, Phường Yên Hòa, Thành Phố Hà Nội
Câu hỏi thường gặp về dữ liệu cá nhân nhạy cảm
1. Hậu quả pháp lý khi vi phạm quy định về bảo vệ dữ liệu cá nhân nhạy cảm là gì?
Vi phạm liên quan đến dữ liệu nhạy cảm thường bị xem là tình tiết tăng nặng. Hậu quả có thể bao gồm các mức xử phạt hành chính cao hơn, trách nhiệm bồi thường thiệt hại lớn hơn, và nguy cơ bị truy cứu trách nhiệm hình sự cao hơn so với vi phạm đối với dữ liệu cơ bản.
2. Hình ảnh cá nhân có phải là dữ liệu nhạy cảm không?
Theo Nghị định 13, hình ảnh cá nhân được xếp vào nhóm dữ liệu cá nhân cơ bản. Tuy nhiên, nếu hình ảnh đó được sử dụng để tạo ra dữ liệu sinh trắc học (như nhận dạng khuôn mặt), thì bản thân dữ liệu sinh trắc học đó lại là dữ liệu nhạy cảm.
3. Sự đồng ý để xử lý dữ liệu nhạy cảm có gì khác biệt?
Pháp luật yêu cầu sự đồng ý phải luôn rõ ràng và tự nguyện. Đối với dữ liệu nhạy cảm, yêu cầu này càng phải được thực hiện một cách nghiêm ngặt hơn. Doanh nghiệp phải chứng minh được rằng chủ thể dữ liệu đã được thông báo rõ ràng về tính chất nhạy cảm của dữ liệu và đã có một hành động khẳng định đồng ý một cách tường minh (explicit consent).
4. Thông tin về nhóm máu có phải là dữ liệu nhạy cảm không?
Không. Khoản 4, Điều 2 Nghị định 13 đã có một sự loại trừ rõ ràng: “Tình trạng sức khỏe và đời tư được ghi trong hồ sơ bệnh án, không bao gồm thông tin về nhóm máu”. Do đó, thông tin nhóm máu được xem là dữ liệu cá nhân cơ bản.
5. Doanh nghiệp nhỏ có phải tuân thủ các quy định nghiêm ngặt về dữ liệu nhạy cảm không?
Có. Ngay cả khi Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 có hiệu lực, các quy định miễn trừ cho doanh nghiệp nhỏ và siêu nhỏ cũng sẽ không được áp dụng nếu doanh nghiệp đó trực tiếp xử lý dữ liệu cá nhân nhạy cảm. Bất kỳ doanh nghiệp nào, không phân biệt quy mô, một khi đã chạm đến dữ liệu nhạy cảm đều phải tuân thủ các nghĩa vụ bảo vệ ở mức độ cao nhất.
Nguồn tham khảo:
- Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân: https://thuvienphapluat.vn/van-ban/Cong-nghe-thong-tin/Nghi-dinh-13-2023-ND-CP-bao-ve-du-lieu-ca-nhan-562955.aspx
- Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân: https://baovedlcn.gov.vn
- Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15: https://thuvienphapluat.vn/van-ban/Bo-may-hanh-chinh/Luat-Bao-ve-du-lieu-ca-nhan-2025-so-91-2025-QH15-625628.aspx
- Article 9 of GDPR – Processing of special categories of personal data: https://gdpr-info.eu/art-9-gdpr/
- Luật Khám bệnh, chữa bệnh 2023: https://thuvienphapluat.vn/van-ban/The-thao-Y-te/Luat-Kham-benh-chua-benh-2023-523270.aspx
