Trong thời đại số hóa, dữ liệu cá nhân ngày càng trở thành một phần quan trọng trong các hoạt động trực tuyến và giao dịch hàng ngày. Việc hiểu rõ khái niệm dữ liệu cá nhân, cũng như cách pháp luật Việt Nam phân loại và bảo vệ chúng, là điều cần thiết để bảo vệ quyền riêng tư. Bài viết này sẽ làm rõ dữ liệu cá nhân là gì, dữ liệu cá nhân cơ bản và nhạy cảm bao gồm những gì, dựa trên Luật Bảo vệ dữ liệu cá nhân 2025 và các văn bản pháp lý liên quan.

Dữ liệu cá nhân là gì theo Luật Bảo vệ dữ liệu cá nhân 2025?

Theo khoản 1 Điều 3 Luật Bảo vệ dữ liệu cá nhân 2025:

“Dữ liệu cá nhân là dữ liệu số hoặc thông tin dưới dạng khác xác định hoặc giúp xác định một con người cụ thể, bao gồm: dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm. Dữ liệu cá nhân sau khi khử nhận dạng không còn là dữ liệu cá nhân.”

Nói cách khác, dữ liệu cá nhân là bất kỳ thông tin nào có thể trực tiếp hoặc gián tiếp xác định danh tính của một cá nhân. Ví dụ, đó có thể là tên, số điện thoại, hoặc thậm chí là sự kết hợp của nhiều yếu tố như nơi ở và lịch sử hoạt động trực tuyến. Pháp luật phân loại dữ liệu cá nhân thành hai nhóm chính: cơ bản và nhạy cảm, với các mức độ bảo vệ khác nhau nhằm đảm bảo quyền lợi của cá nhân trong môi trường số.

Điểm đặc biệt trong quy định này là dữ liệu sau khi được khử nhận dạng (loại bỏ các yếu tố nhận diện) sẽ không còn được coi là dữ liệu cá nhân. Điều này khuyến khích các tổ chức áp dụng các kỹ thuật ẩn danh hóa để giảm thiểu rủi ro rò rỉ thông tin, đồng thời vẫn đáp ứng nhu cầu thu thập dữ liệu cho mục đích phân tích hoặc kinh doanh.

Dữ liệu cá nhân cơ bản là gì? Gồm những dữ liệu nào?

Theo khoản 2 Điều 3 Luật Bảo vệ dữ liệu cá nhân 2025:

“Dữ liệu cá nhân cơ bản là dữ liệu cá nhân phản ánh các yếu tố nhân thân, lai lịch phổ biến, thường xuyên sử dụng trong các giao dịch, quan hệ xã hội, thuộc danh mục do Chính phủ ban hành.”

Danh mục dữ liệu cá nhân cơ bản được cụ thể hóa tại khoản 3 Điều 2 Nghị định 13/2023/NĐ-CP, bao gồm:

  1. Họ, chữ đệm và tên khai sinh, tên gọi khác (nếu có);
  2. Ngày, tháng, năm sinh; ngày, tháng, năm chết hoặc mất tích;
  3. Giới tính;
  4. Nơi sinh, nơi đăng ký khai sinh, nơi thường trú, nơi tạm trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ;
  5. Quốc tịch;
  6. Hình ảnh của cá nhân;
  7. Số điện thoại, số chứng minh nhân dân, số định danh cá nhân, số hộ chiếu, số giấy phép lái xe, số biển số xe, số mã số thuế cá nhân, số bảo hiểm xã hội, số thẻ bảo hiểm y tế;
  8. Tình trạng hôn nhân;
  9. Thông tin về mối quan hệ gia đình (cha mẹ, con cái);
  10. Thông tin về tài khoản số của cá nhân; dữ liệu cá nhân phản ánh hoạt động, lịch sử hoạt động trên không gian mạng;
  11. Các thông tin khác gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể không thuộc danh mục dữ liệu nhạy cảm.

Những dữ liệu này thường được sử dụng trong các giao dịch dân sự, thủ tục hành chính hoặc các quan hệ xã hội hàng ngày, như đăng ký tài khoản ngân hàng, mua sắm trực tuyến, hoặc làm hồ sơ xin việc. Vì tính chất phổ biến, dữ liệu cá nhân cơ bản không đòi hỏi mức độ bảo mật quá cao như dữ liệu nhạy cảm, nhưng vẫn cần được quản lý cẩn thận để tránh các hành vi lạm dụng, như lừa đảo hoặc sử dụng trái phép thông tin.

Ví dụ, khi bạn đăng ký một dịch vụ trực tuyến, các thông tin như tên, số điện thoại, hoặc địa chỉ thường được yêu cầu. Nếu không được bảo vệ đúng cách, những thông tin này có thể bị sử dụng để gửi tin nhắn rác hoặc đánh cắp danh tính.

Dữ liệu cá nhân nhạy cảm là gì? Gồm những dữ liệu nào?

Khoản 3 Điều 3 Luật Bảo vệ dữ liệu cá nhân 2025 quy định:

“Dữ liệu cá nhân nhạy cảm là dữ liệu cá nhân gắn liền với quyền riêng tư của cá nhân, khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp đến quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân, thuộc danh mục do Chính phủ ban hành.”

Danh mục dữ liệu nhạy cảm được liệt kê cụ thể tại khoản 4 Điều 2 Nghị định 13/2023/NĐ-CP, bao gồm:

  1. Quan điểm chính trị, quan điểm tôn giáo;
  2. Tình trạng sức khỏe và đời tư được ghi trong hồ sơ bệnh án, không bao gồm thông tin về nhóm máu;
  3. Thông tin liên quan đến nguồn gốc chủng tộc, nguồn gốc dân tộc;
  4. Thông tin về đặc điểm di truyền được thừa hưởng hoặc có được của cá nhân;
  5. Thông tin về thuộc tính vật lý, đặc điểm sinh học riêng của cá nhân;
  6. Thông tin về đời sống tình dục, xu hướng tình dục của cá nhân;
  7. Dữ liệu về tội phạm, hành vi phạm tội được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật;
  8. Thông tin khách hàng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, các tổ chức được phép khác, gồm: thông tin định danh khách hàng, thông tin về tài khoản, tiền gửi, tài sản gửi, giao dịch, và thông tin về bên bảo đảm;
  9. Dữ liệu về vị trí của cá nhân được xác định qua dịch vụ định vị;
  10. Dữ liệu cá nhân khác được pháp luật quy định là đặc thù và cần có biện pháp bảo mật cần thiết.

Dữ liệu cá nhân nhạy cảm yêu cầu mức độ bảo vệ cao hơn nhiều so với dữ liệu cơ bản, vì sự rò rỉ hoặc sử dụng trái phép có thể gây ra những hậu quả nghiêm trọng, như kỳ thị xã hội, tổn hại danh dự, nhân phẩm, hoặc thiệt hại tài chính. Ví dụ, thông tin về tình trạng sức khỏe trong hồ sơ bệnh án có thể dẫn đến phân biệt đối xử nếu bị tiết lộ, hoặc dữ liệu tài chính bị lạm dụng có thể gây ra tổn thất lớn về kinh tế.

Để bảo vệ dữ liệu nhạy cảm, các tổ chức cần áp dụng các biện pháp bảo mật nghiêm ngặt, như mã hóa dữ liệu, giới hạn quyền truy cập, và chỉ xử lý khi có sự đồng ý rõ ràng từ cá nhân. Trong bối cảnh các ứng dụng định vị hoặc dịch vụ tài chính trực tuyến ngày càng phổ biến, việc bảo vệ dữ liệu nhạy cảm là yếu tố then chốt để xây dựng niềm tin từ người dùng.

Trên đây là thông tin mà Mys Law cung cấp. Mọi thắc mắc liên quan đến nội dung bài viết xin vui lòng liên hệ 0969.361.319 hoặc email: [email protected] để được giải đáp.

Trân trọng!

Người biên tập: Nguyễn Thị Trà My