Nghị định, Tin tức Luật

Bảo vệ dữ liệu cá nhân là gì? Phân biệt dữ liệu cá nhân cơ bản và nhạy cảm theo pháp luật Việt Nam

Đăng vào bởi Trí Tuệ Luật
Phân tích Luật Dữ liệu cá nhân
03
Th4

Trong kỷ nguyên số hóa mạnh mẽ, dữ liệu cá nhân đã trở thành một loại tài sản có giá trị lớn nhưng cũng là mục tiêu hàng đầu của các hành vi xâm nhập, mua bán và trục lợi bất hợp pháp. Để thiết lập hành lang pháp lý nghiêm ngặt nhằm bảo vệ quyền riêng tư của công dân, Chính phủ Việt Nam đã ban hành Nghị định 13/2023/NĐ-CP quy định trực tiếp về bảo vệ dữ liệu cá nhân. Việc hiểu rõ bản chất pháp lý của dữ liệu cá nhân và các nghĩa vụ đi kèm không chỉ giúp cá nhân tự bảo vệ mình mà còn là yêu cầu bắt buộc đối với mọi doanh nghiệp đang vận hành.

Bản chất pháp lý của bảo vệ dữ liệu cá nhân

Bảo vệ dữ liệu cá nhân là hoạt động phòng ngừa, phát hiện, ngăn chặn, xử lý hành vi vi phạm liên quan đến dữ liệu cá nhân theo quy định của pháp luật
Bảo vệ dữ liệu cá nhân là hoạt động phòng ngừa, phát hiện, ngăn chặn, xử lý hành vi vi phạm liên quan đến dữ liệu cá nhân theo quy định của pháp luật

Theo quy định của pháp luật Việt Nam, dữ liệu cá nhân là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể.

Bảo vệ dữ liệu cá nhân là hoạt động phòng ngừa, phát hiện, ngăn chặn, xử lý hành vi vi phạm liên quan đến dữ liệu cá nhân theo quy định của pháp luật. Đây là trách nhiệm chung của các cơ quan, tổ chức và cá nhân có liên quan trong quá trình thu thập, xử lý, lưu trữ, chuyển giao và tiêu hủy thông tin.

Phân loại dữ liệu cá nhân theo Nghị định 13/2023/NĐ-CP

Pháp luật Việt Nam phân chia dữ liệu cá nhân thành hai nhóm rõ rệt với các mức độ bảo vệ và điều kiện xử lý nghiêm ngặt khác nhau:

1. Dữ liệu cá nhân cơ bản

Đây là những thông tin mang tính chất định danh thông thường, bao gồm:

  • Họ, chữ đệm và tên khai sinh, tên gọi khác (nếu có).
  • Ngày, tháng, năm sinh; ngày, tháng, năm chết hoặc mất tích.
  • Giới tính; nơi sinh, nơi đăng ký khai sinh, nơi thường trú, nơi tạm trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ.
  • Quốc tịch; số điện thoại, số chứng minh nhân dân, số định danh cá nhân (CCCD), số hộ chiếu, số mã số thuế cá nhân, số bảo hiểm xã hội, số thẻ bảo hiểm y tế.
  • Tình trạng hôn nhân; thông tin về mối quan hệ gia đình (cha mẹ, con cái, vợ chồng, anh chị em).
  • Thông tin phản ánh hoạt động trên môi trường số (lịch sử tìm kiếm, địa chỉ IP).

2. Dữ liệu cá nhân nhạy cảm

Đây là những thông tin gắn liền với quyền riêng tư đặc biệt của cá nhân mà khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp đến quyền và lợi ích hợp pháp của người đó, bao gồm:

  • Quan điểm chính trị, quan điểm tôn giáo.
  • Tình trạng sức khỏe và đời tư được ghi trong hồ sơ bệnh án (không bao gồm thông tin nhóm máu).
  • Thông tin liên quan đến nguồn gốc chủng tộc, nguồn gốc dân tộc.
  • Thông tin về đặc điểm di truyền được thừa kế hoặc có được của cá nhân.
  • Thông tin về thuộc tính vật lý, đặc điểm sinh trắc học (vân tay, mống mắt, khuôn mặt).
  • Thông tin về đời sống tình dục, xu hướng tình dục của cá nhân.
  • Dữ liệu về tội phạm, hành vi phạm tội được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật.
  • Dữ liệu khách hàng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, tổ chức kinh doanh dịch vụ xử lý dữ liệu (bao gồm thông tin tài khoản, tiền gửi, tài sản gửi, giao dịch).
  • Dữ liệu về vị trí của cá nhân được xác định qua dịch vụ định vị.

Bảng so sánh mức độ quản lý giữa Dữ liệu cơ bản và Dữ liệu nhạy cảm

Tiêu chí quản lý (Entities)Dữ liệu cá nhân cơ bảnDữ liệu cá nhân nhạy cảm
Bản chất thông tinThông tin định danh thông thường trên giấy tờ và môi trường số.Thông tin đặc biệt riêng tư, tài chính và sinh trắc học liên quan mật thiết đến an toàn cá nhân.
Sự đồng ý của chủ thể dữ liệuBắt buộc phải có sự đồng ý rõ ràng của chủ thể dữ liệu trước khi xử lý (trừ các trường hợp ngoại lệ của pháp luật).Quy trình xin sự đồng ý nghiêm ngặt hơn, chủ thể phải được thông báo rõ ràng đây là dữ liệu nhạy cảm.
Đánh giá tác động xử lý dữ liệu (DPIA)Phải lập hồ sơ đánh giá tác động và nộp cho Cục An ninh mạng (A05) thuộc Bộ Công an.Phải lập hồ sơ với các tiêu chuẩn bảo mật kỹ thuật cao hơn, chỉ định bộ phận/nhân sự bảo vệ dữ liệu.
Rủi ro khi bị rò rỉ (Data Breach)Bị làm phiền bởi tin nhắn rác, cuộc gọi rác quảng cáo, lừa đảo thông thường.Tổn hại nghiêm trọng đến tài sản (mất tiền tài khoản ngân hàng), danh dự, uy tín hoặc bị tống tiền.

4 Nguyên tắc cốt lõi doanh nghiệp bắt buộc phải tuân thủ

Nguyên tắc bảo vệ dữ liệu cốt lõi doanh nghiệp bắt buộc phải tuân thủ
Nguyên tắc bảo vệ dữ liệu cốt lõi doanh nghiệp bắt buộc phải tuân thủ

Mọi tổ chức, doanh nghiệp khi tham gia vào quá trình xử lý dữ liệu cá nhân tại Việt Nam cần đặc biệt lưu ý các nguyên tắc sau để tránh các án phạt hành chính nặng nề:

  1. Nguyên tắc hợp pháp, minh bạch: Dữ liệu chỉ được thu thập khi có sự đồng ý tự nguyện và chủ động của chủ thể dữ liệu. Doanh nghiệp không được sử dụng các điều khoản ẩn hoặc ép buộc khách hàng chấp thuận.
  2. Nguyên tắc giới hạn mục đích: Dữ liệu thu thập vì mục đích gì (ví dụ: giao hàng) thì chỉ được dùng đúng cho mục đích đó, không được tự ý chuyển giao cho bên thứ ba để quảng cáo khi chưa được phép.
  3. Nguyên tắc tối thiểu hóa dữ liệu: Chỉ thu thập những thông tin thực sự cần thiết để thực hiện dịch vụ. Tránh việc ứng dụng mua sắm quần áo lại đòi quyền truy cập vị trí thời gian thực hoặc danh bạ điện thoại.
  4. Nguyên tắc an toàn, bảo mật: Doanh nghiệp phải áp dụng các biện pháp kỹ thuật mã hóa, tường lửa, phân quyền truy cập nghiêm ngặt để đảm bảo dữ liệu không bị thất thoát, phá hủy hoặc truy cập trái phép.

Trí Tuệ Luật