Tiêu chuẩn bảo vệ dữ liệu cá nhân theo Luật Bảo vệ dữ liệu cá nhân 2025

Ngày đăng - 19/08/2025

Luật sư Nguyễn Lâm Sơn Tư vấn Luật bảo vệ dữ liệu cá nhân, Tư vấn Nghị định 13/2023/NĐ-CP

Các tiêu chuẩn bảo vệ dữ liệu cá nhân theo Luật Bảo vệ dữ liệu cá nhân 2025 là một yêu cầu pháp lý mới, đòi hỏi doanh nghiệp phải áp dụng các quy chuẩn kỹ thuật cụ thể. Tại DPVN, chúng tôi sẽ cung cấp hướng dẫn chi tiết giúp doanh nghiệp áp dụng các tiêu chuẩn an toàn thông tin phù hợp, đảm bảo tuân thủ và nâng cao năng lực bảo mật.

Luật Bảo vệ dữ liệu cá nhân 2025 quy định về tiêu chuẩn và quy chuẩn kỹ thuật như thế nào?

Điều 34 Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15 lần đầu tiên đưa ra một khuôn khổ pháp lý chính thức cho việc ban hành và áp dụng các tiêu chuẩn bảo vệ dữ liệu cá nhân. Luật phân biệt rõ giữa “tiêu chuẩn” (mang tính khuyến khích, tự nguyện áp dụng) và “quy chuẩn kỹ thuật” (mang tính bắt buộc áp dụng) đối với hệ thống thông tin, phần cứng, phần mềm và quy trình quản lý.

Đây là một bước tiến quan trọng so với Nghị định 13/2023/NĐ-CP, vốn chỉ khuyến khích áp dụng các tiêu chuẩn một cách chung chung. Việc luật hóa vấn đề này tạo ra một cơ sở vững chắc để chuẩn hóa các hoạt động bảo vệ dữ liệu trên toàn quốc, giúp doanh nghiệp có một thước đo rõ ràng để đánh giá và cải thiện hệ thống của mình.

Về chuyên môn sâu, sự phân biệt giữa tiêu chuẩn và quy chuẩn kỹ thuật có ý nghĩa rất lớn:

  • Tiêu chuẩn (Standard): Là các tài liệu được công bố, thừa nhận áp dụng tại Việt Nam, thường dựa trên các tiêu chuẩn quốc tế. Việc áp dụng tiêu chuẩn thể hiện sự chuyên nghiệp và cam kết của doanh nghiệp, giúp nâng cao năng lực cạnh tranh.
  • Quy chuẩn kỹ thuật (Technical Regulation): Là các yêu cầu kỹ thuật mang tính bắt buộc, được các cơ quan nhà nước có thẩm quyền xây dựng và ban hành. Mọi tổ chức, cá nhân thuộc đối tượng áp dụng đều phải tuân thủ các quy chuẩn này.

Việc ban hành các tiêu chuẩn và quy chuẩn kỹ thuật cụ thể sẽ được thực hiện theo quy định của Luật Tiêu chuẩn và Quy chuẩn kỹ thuật, với sự phối hợp giữa Bộ Công an, Bộ Khoa học và Công nghệ, và các bộ ngành liên quan.

Doanh nghiệp có thể áp dụng các tiêu chuẩn quốc tế nào để tuân thủ và so sánh với luật Việt Nam ra sao?

Trong khi chờ đợi các tiêu chuẩn và quy chuẩn kỹ thuật chính thức của Việt Nam, doanh nghiệp có thể chủ động áp dụng các tiêu chuẩn quốc tế uy tín như ISO/IEC 27001 (về Hệ thống Quản lý An toàn Thông tin) và ISO/IEC 27701 (mở rộng cho Quản lý Thông tin Riêng tư). Các tiêu chuẩn này có nhiều điểm tương đồng và bao quát hơn cả các yêu cầu của luật Việt Nam, giúp doanh nghiệp tuân thủ một cách bền vững.

Việc áp dụng tiêu chuẩn quốc tế không chỉ giúp tuân thủ pháp luật trong nước mà còn là một lợi thế cạnh tranh lớn trên thị trường toàn cầu.

Các tiêu chuẩn quốc tế phổ biến

Dưới đây là hai bộ tiêu chuẩn quan trọng nhất mà DPVN khuyến nghị các doanh nghiệp nên tìm hiểu và áp dụng:

Tiêu chuẩn Nội dung chính
ISO/IEC 27001:2022 Là tiêu chuẩn quốc tế về Hệ thống Quản lý An toàn Thông tin (ISMS). Nó cung cấp một khuôn khổ toàn diện để doanh nghiệp xác định, đánh giá và xử lý các rủi ro về an toàn thông tin một cách có hệ thống.
ISO/IEC 27701:2019 Là một phần mở rộng của ISO 27001, cung cấp các yêu cầu và hướng dẫn bổ sung để thiết lập một Hệ thống Quản lý Thông tin Riêng tư (PIMS). Nó giúp tích hợp việc quản lý quyền riêng tư vào hệ thống ISMS đã có.

So sánh Tiêu chuẩn Quốc tế và Luật Việt Nam

💡 Luật sư Nguyễn Lâm Sơn chia sẻ: “Một kinh nghiệm quan trọng là không nên xem việc tuân thủ luật Việt Nam và việc đạt chứng nhận ISO là hai việc tách rời. Trên thực tế, việc triển khai thành công ISO 27001 và 27701 sẽ giúp doanh nghiệp của bạn đáp ứng được phần lớn, thậm chí là toàn bộ các yêu cầu về biện pháp bảo vệ của Luật Bảo vệ dữ liệu cá nhân 2025. Ví dụ, các yêu cầu về đánh giá rủi ro, kiểm soát truy cập, mã hóa, hay quản lý nhà cung cấp trong ISO đều tương ứng trực tiếp với các nghĩa vụ trong Luật.”

Tuy nhiên, cần lưu ý rằng các tiêu chuẩn ISO tập trung vào việc xây dựng “hệ thống quản lý”, trong khi luật Việt Nam có thêm các yêu cầu hành chính cụ thể như lập và nộp Hồ sơ Đánh giá Tác động. Do đó, một chiến lược tuân thủ thông minh là sử dụng ISO làm khung quản trị và bổ sung các quy trình để đáp ứng các yêu cầu hành chính đặc thù của Việt Nam.

Quy trình triển khai và áp dụng các tiêu chuẩn bảo vệ dữ liệu trong doanh nghiệp gồm những bước nào?

Việc triển khai một tiêu chuẩn như ISO 27001 là một dự án lớn, tuân theo chu trình Lập kế hoạch – Thực hiện – Kiểm tra – Hành động (Plan-Do-Check-Act). Quy trình này bao gồm các bước chính như: xác định phạm vi, đánh giá rủi ro, lựa chọn và triển khai các biện pháp kiểm soát, đào tạo nhận thức, và thực hiện đánh giá nội bộ cũng như cải tiến liên tục.

Dưới đây là một quy trình triển khai được đơn giản hóa mà doanh nghiệp có thể tham khảo:

  1. Bước 1: Cam kết của Lãnh đạo và Xác định Phạm vi: Ban lãnh đạo phải cam kết cung cấp đủ nguồn lực. Sau đó, xác định phạm vi của hệ thống quản lý (ví dụ: áp dụng cho toàn công ty hay chỉ cho một bộ phận/dịch vụ quan trọng).
  2. Bước 2: Đánh giá Rủi ro (Risk Assessment): Đây là bước cốt lõi. Doanh nghiệp cần xác định các tài sản thông tin, các mối đe dọa, các lỗ hổng và đánh giá mức độ rủi ro tương ứng.
  3. Bước 3: Lựa chọn và Triển khai Biện pháp Kiểm soát (Controls): Dựa trên kết quả đánh giá rủi ro, lựa chọn các biện pháp kiểm soát phù hợp từ Phụ lục A của ISO 27001 (bao gồm 93 biện pháp) và xây dựng kế hoạch xử lý rủi ro.
  4. Bước 4: Xây dựng Tài liệu và Đào tạo: Soạn thảo các chính sách, quy trình cần thiết và tổ chức các chương trình đào tạo để nâng cao nhận thức về an toàn thông tin và bảo vệ dữ liệu cho toàn thể nhân viên.
  5. Bước 5: Vận hành và Giám sát: Đưa hệ thống vào vận hành và thực hiện các hoạt động giám sát liên tục để đảm bảo các biện pháp kiểm soát hoạt động hiệu quả.
  6. Bước 6: Đánh giá Nội bộ và Xem xét của Lãnh đạo: Thực hiện các cuộc đánh giá nội bộ định kỳ để kiểm tra sự tuân thủ và báo cáo kết quả lên ban lãnh đạo để xem xét, đưa ra các quyết định cải tiến.
  7. Bước 7: Đánh giá Chứng nhận (nếu có nhu cầu): Nếu doanh nghiệp muốn có chứng nhận ISO 27001, sẽ cần thuê một tổ chức chứng nhận độc lập để thực hiện đánh giá.

DPVN: Tư Vấn Lộ Trình Áp Dụng Tiêu Chuẩn và Tuân Thủ

Việc áp dụng các tiêu chuẩn bảo vệ dữ liệu quốc tế là một hành trình phức tạp, đòi hỏi chuyên môn sâu rộng. Tuy nhiên, lợi ích mà nó mang lại về mặt tuân thủ, an ninh và uy tín thương hiệu là vô cùng to lớn.

Đội ngũ của DPVN, với sự kết hợp giữa các chuyên gia pháp lý do Luật sư Nguyễn Lâm Sơn dẫn dắt và các đối tác về an toàn thông tin, có thể giúp doanh nghiệp của bạn xây dựng một lộ trình áp dụng tiêu chuẩn hiệu quả và phù hợp nhất. Hãy liên hệ với chúng tôi:

Hotline: 0982976486

Email: lamson@baovedlcn.vn

Địa chỉ: Tầng 6 Tòa Star Tower, Phố Trương Công Giai, Phường Yên Hòa, Thành Phố Hà Nội

Câu hỏi thường gặp về Tiêu chuẩn Bảo vệ Dữ liệu cá nhân

1. Việc có chứng nhận ISO 27001 có đồng nghĩa với việc tôi đã tuân thủ Luật Bảo vệ dữ liệu cá nhân 2025 không?

Không hoàn toàn. Chứng nhận ISO 27001 là một bằng chứng rất mạnh mẽ cho thấy bạn đã có một hệ thống quản lý an toàn thông tin tốt, đáp ứng phần lớn các yêu cầu về biện pháp bảo vệ. Tuy nhiên, bạn vẫn cần thực hiện các nghĩa vụ hành chính đặc thù của Việt Nam như lập và nộp Hồ sơ Đánh giá Tác động.

2. Chế tài xử phạt khi không tuân thủ các tiêu chuẩn bảo vệ dữ liệu cá nhân là gì?

Việc không áp dụng các biện pháp bảo vệ phù hợp (vốn được cụ thể hóa trong các tiêu chuẩn) là một hành vi vi phạm pháp luật. Theo Luật 91/2025/QH15, các hành vi vi phạm có thể bị xử phạt hành chính lên tới 3 tỷ đồng, hoặc thậm chí phạt theo tỷ lệ doanh thu trong các trường hợp nghiêm trọng.

3. Khi nào thì các quy chuẩn kỹ thuật bắt buộc của Việt Nam sẽ được ban hành?

Hiện tại chưa có lộ trình chính thức. Tuy nhiên, sau khi Luật Bảo vệ dữ liệu cá nhân 2025 có hiệu lực, các cơ quan chức năng như Bộ Công an, Bộ Khoa học và Công nghệ sẽ phối hợp xây dựng và ban hành các quy chuẩn kỹ thuật này. Doanh nghiệp cần theo dõi sát sao các thông báo từ Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân.

4. Chi phí để đạt được chứng nhận ISO 27001 có cao không?

Chi phí phụ thuộc vào quy mô và độ phức tạp của doanh nghiệp, bao gồm chi phí tư vấn, chi phí đánh giá chứng nhận và chi phí đầu tư vào công nghệ, con người. Đây là một khoản đầu tư đáng kể, nhưng lợi ích về an ninh, uy tín và khả năng tiếp cận các thị trường khó tính thường vượt xa chi phí bỏ ra.

5. So với GDPR, yêu cầu về tiêu chuẩn của Luật Việt Nam có khắt khe bằng không?

GDPR và Luật của Việt Nam đều theo cách tiếp cận dựa trên rủi ro, yêu cầu doanh nghiệp phải áp dụng các biện pháp kỹ thuật và tổ chức phù hợp. Về cơ bản, tinh thần là tương đồng. Tuy nhiên, GDPR có những quy định cụ thể hơn về các công nghệ nâng cao quyền riêng tư. Việc Luật 2025 mở đường cho việc ban hành các quy chuẩn kỹ thuật cho thấy Việt Nam đang từng bước tiến tới việc có những yêu cầu cụ thể và khắt khe tương tự.

Nguồn tham khảo:

  1. Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15: https://thuvienphapluat.vn/van-ban/Bo-may-hanh-chinh/Luat-Bao-ve-du-lieu-ca-nhan-2025-so-91-2025-QH15-625628.aspx
  2. Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân: https://thuvienphapluat.vn/van-ban/Cong-nghe-thong-tin/Nghi-dinh-13-2023-ND-CP-bao-ve-du-lieu-ca-nhan-562955.aspx
  3. Tổ chức Tiêu chuẩn hóa Quốc tế (ISO) – ISO/IEC 27001:2022: https://www.iso.org/standard/82875.html
  4. Tổ chức Tiêu chuẩn hóa Quốc tế (ISO) – ISO/IEC 27701:2019: https://www.iso.org/standard/71670.html
  5. Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân: https://baovedlcn.gov.vn
Liên hệ với DPVN để được tư vấn miễn phí
Hotline 0982976486