Luật Bảo vệ Dữ liệu Cá nhân (Luật BVDLCN) của Việt Nam đã chính thức được ban hành vào ngày 26 tháng 6 năm 2025 và sẽ có hiệu lực từ ngày 1 tháng 1 năm 2026, theo đó đánh dấu một bước chuyển đổi lớn từ cơ chế quản lý phân tán sang khuôn khổ pháp lý toàn diện và thống nhất về bảo vệ dữ liệu cá nhân.

Trong bản tin pháp lý này, chúng tôi sẽ phân tích, so sánh chi tiết giữa Luật BVDLCN và Nghị định 13/2023/NĐ-CP (Nghị định BVDLCN), làm rõ mối quan hệ giữa nghĩa vụ đánh giá tác động theo Luật BVDLCN và nghĩa vụ đánh giá tác động theo Luật Dữ liệu, đồng thời đề ra các nội dung mà doanh nghiệp cần thực hiện để bảo đảm cho việc tuân thủ trong tương lai.

1. Luật BVDLCN – Những điểm mới so với Nghị định BVDLCN

a. Điều chỉnh phạm vi áp dụng ngoài lãnh thổ: Mặc dù vẫn tiếp tục giữ các quy định về phạm vi áp dụng trong và ngoài lãnh thổ như Nghị định BVDLCN, tuy nhiên Luật BVDLCN đã thu hẹp phạm vi áp dụng ngoài lãnh thổ theo hướng chỉ áp dụng đối với cơ quan, tổ chức, cá nhân nước ngoài trực tiếp tham gia hoặc có liên quan đến hoạt động xử lý dữ liệu cá nhân của công dân Việt Nam và người gốc Việt Nam chưa xác định được quốc tịch đang sinh sống tại Việt Nam đã được cấp giấy chứng nhận căn cước.

b. Mở rộng các định nghĩa liên quan đến dữ liệu cá nhân: Luật BVDLCN định nghĩa “dữ liệu cá nhân” bao gồm dữ liệu số hoặc thông tin dưới dạng khác xác định hoặc giúp xác định một con người cụ thể. Việc bổ sung thông tin dưới dạng khác ngoài dữ liệu số, như thông tin dưới dạng văn bản truyền thống, giúp đảm bảo phạm vi điều chỉnh của Luật BVDLCN được toàn diện đối với tất cả các dạng dữ liệu.

Đối với “dữ liệu cá nhân cơ bản” và “dữ liệu cá nhân nhạy cảm”, Luật BVDLCN không đưa ra danh mục chi tiết như Nghị định BVDLCN, mà chỉ quy định các tiêu chí xác định chung và giao Chính phủ ban hành danh mục chi tiết.

c. Định nghĩa mới về “khử nhận dạng” và “mã hóa”: Một bước tiến mới của Luật BVDLCN là việc đưa ra các khái niệm mới về “khử nhận dạng” (quá trình thay đổi hoặc xóa thông tin để tạo ra dữ liệu mới không thể xác định hoặc không thể giúp xác định được một con người cụ thể) và “mã hóa” (việc chuyển đổi dữ liệu cá nhân sang dạng không nhận biết được dữ liệu cá nhân nếu không được giải mã). Theo Luật BVDLCN, dữ liệu cá nhân sau khi khử nhận dạng không còn là dữ liệu cá nhân, tuy nhiên dữ liệu cá nhân sau khi được mã hóa vẫn được xem là dữ liệu cá nhân.

d. Cơ chế thu thập sự đồng ý: Luật BVDLCN quy định rằng sự đồng ý của chủ thể dữ liệu cá nhân phải bảo đảm nguyên tắc (i) thể hiện sự đồng ý đối với từng mục đích và (ii) không được kèm theo điều kiện bắt buộc phải đồng ý với các mục đích khác với nội dung thỏa thuận. Quy định này giúp củng cố và làm rõ nguyên tắc đã được quy định trong Nghị định BVDLCN liên quan đến việc thu thập sự đồng ý cho nhiều mục đích xử lý, theo đó yêu cầu phải có cơ chế cho phép chủ thể dữ liệu lựa chọn (những) mục đích xử lý mà họ đồng ý, nhằm ngăn chặn thực trạng áp dụng cơ chế “đồng ý gộp”.

e. Quyền của chủ thể dữ liệu: Nhằm cân bằng giữa việc bảo vệ quyền riêng tư của chủ thể dữ liệu và đảm bảo việc thực hiện các quyền này không gây gián đoạn bất hợp lý cho các hoạt động xử lý dữ liệu hợp pháp của doanh nghiệp, Luật BVDLCN quy định rằng chủ thể dữ liệu, khi thực hiện quyền và nghĩa vụ của mình, không được gây khó khăn hoặc cản trở việc thực hiện các quyền và nghĩa vụ hợp pháp của bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân hoặc bên xử lý dữ liệu cá nhân. Đáng chú ý, Luật BVDLCN đã thay thế thời hạn phản hồi 72 giờ đối với các yêu cầu của chủ thể dữ liệu theo Nghị định BVDLCN bằng quy định về thời hạn "kịp thời" để đảm bảo tính linh hoạt, và giao cho Chính phủ quy định nội dung chi tiết.

f. Chuyển giao dữ liệu cá nhân: Ngoài các trường hợp chuyển giao dữ liệu cá nhân đã được chủ thể dữ liệu đồng ý, hoặc các trường hợp xử lý dữ liệu cá nhân (bao gồm cả việc chuyển giao) không yêu cầu sự đồng ý của chủ thể dữ liệu theo quy định tại Nghị định BVDLCN, Luật BVDLCN quy định các trường hợp khác được phép chuyển giao dữ liệu cá nhân (mà không cần sự đồng ý). Các trường hợp này bao gồm (i) chia sẻ dữ liệu cá nhân giữa các bộ phận trong cùng một cơ quan, tổ chức để xử lý dữ liệu cá nhân phù hợp với mục đích xử lý đã xác lập, (ii) chuyển giao dữ liệu cá nhân trong trường hợp tổ chức lại doanh nghiệp, (iii) bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân chuyển giao dữ liệu cá nhân cho bên xử lý dữ liệu cá nhân, bên thứ ba để xử lý dữ liệu cá nhân theo quy định, và (iv) chuyển giao dữ liệu cá nhân theo yêu cầu của cơ quan nhà nước có thẩm quyền.

g. Đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới: Luật BVDLCN quy định ba trường hợp chuyển dữ liệu cá nhân xuyên biên giới, bao gồm (i) chuyển dữ liệu cá nhân đang lưu trữ tại Việt Nam đến hệ thống lưu trữ dữ liệu đặt ngoài lãnh thổ nước Cộng hòa xã hội chủ nghĩa Việt Nam, (ii) cơ quan, tổ chức, cá nhân tại Việt Nam chuyển dữ liệu cá nhân cho tổ chức, cá nhân ở nước ngoài, và (iii) cơ quan, tổ chức, cá nhân tại Việt Nam hoặc ở nước ngoài sử dụng nền tảng ở ngoài lãnh thổ nước Cộng hòa xã hội chủ nghĩa Việt Nam để xử lý dữ liệu cá nhân được thu thập tại Việt Nam. Trừ một số trường hợp đặc biệt được quy định theo Luật BVDLCN (ví dụ: cơ quan, tổ chức lưu trữ dữ liệu cá nhân của người lao động thuộc cơ quan, tổ chức đó trên dịch vụ điện toán đám mây, chủ thể dữ liệu cá nhân tự chuyển dữ liệu cá nhân của mình xuyên biên giới hoặc các trường hợp khác do Chính phủ quy định), hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới phải được lập và nộp cho cơ quan có thẩm quyền trong vòng 60 ngày kể ngày đầu tiên chuyển dữ liệu cá nhân xuyên biên giới. Ngoài ra, hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới phải được cập nhật định kỳ sáu tháng khi có bất kỳ thay đổi nào (đối với nội dung đã nộp), hoặc ngay lập tức khi có những thay đổi nhất định theo quy định pháp luật (ví dụ: tổ chức lại, thay đổi tổ chức, cá nhân cung cấp dịch vụ bảo vệ dữ liệu, thay đổi ngành nghề kinh doanh đã đăng ký liên quan đến xử lý dữ liệu cá nhân).

h. Đánh giá tác động xử lý dữ liệu cá nhân: Luật BVDLCN đã đưa ra các quy định tương tự liên quan đến việc chuẩn bị, nộp và cập nhật hồ sơ đánh giá tác động xử lý dữ liệu cá nhân.

i. Lực lượng bảo vệ dữ liệu cá nhân: Luật BVDLCN quy định các cơ quan, tổ chức xử lý dữ liệu cá nhân phải chỉ định bộ phận, nhân sự đủ điều kiện năng lực bảo vệ dữ liệu cá nhân hoặc thuê tổ chức, cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân. Theo Nghị định BVDLCN, nghĩa vụ chỉ định bộ phận hoặc nhân sự phụ trách bảo vệ dữ liệu cá nhân chỉ bắt buộc đối với trường hợp xử lý dữ liệu cá nhân nhạy cảm. Nội dung chi tiết liên quan đến điều kiện, nhiệm vụ của bộ phận, nhân sự bảo vệ dữ liệu cá nhân và tổ chức, cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân sẽ được quy định trong văn bản hướng dẫn của Chính phủ.

j. Miễn trừ đối với nghĩa vụ đánh giá tác động xử lý dữ liệu cá nhân, đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài, và chỉ định lực lượng bảo vệ dữ liệu cá nhân: So với việc quy định yêu cầu thực hiện chung theo Nghị định BVDLCN, Luật BVDLCN đã ghi nhận khả năng thực hiện không đồng đều giữa các tổ chức kinh doanh và do đó đã đưa ra các miễn trừ cụ thể đối với nghĩa vụ thực hiện đánh giá tác động xử lý dữ liệu cá nhân và chỉ định lực lượng bảo vệ dữ liệu cá nhân đối với các doanh doanh nghiệp có quy mô vừa và nhỏ (nhưng không bao gồm miễn trừ nghĩa vụ thực hiện đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài, theo quy định tại Luật BVDLCN). Cụ thể, các doanh nghiệp nhỏ và doanh nghiệp khởi nghiệp được quyền lựa chọn thực hiện hoặc không thực hiện các nghĩa vụ về đánh giá tác động xử lý dữ liệu cá nhân và chỉ định lực lượng bảo vệ dữ liệu cá nhân trong thời gian 05 năm kể từ ngày Luật BVDLCN có hiệu lực. Các doanh nghiệp siêu nhỏ và hộ kinh doanh không bắt buộc phải tuân thủ các yêu cầu này. Tuy nhiên, các miễn trừ này sẽ không được áp dụng nếu doanh nghiệp, doanh nghiệp khởi nghiệp hoặc hộ kinh doanh liên quan (i) kinh doanh dịch vụ xử lý dữ liệu cá nhân, (ii) trực tiếp xử lý dữ liệu cá nhân nhạy cảm, hoặc (iii) xử lý dữ liệu cá nhân của một số lượng lớn chủ thể dữ liệu.

Ngoài ra, Luật BVDLCN cũng có điều khoản chuyển tiếp để làm rõ rằng các doanh nghiệp sẽ không phải tuân thủ yêu cầu nộp hồ sơ đánh giá tác động xử lý dữ liệu cá nhân, đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài nếu hồ sơ của họ đã được lập theo Nghị định BVDLCN và được cơ quan có thẩm quyền tiếp nhận trước ngày Luật BVDLCN có hiệu lực. Tuy nhiên, bất kỳ cập nhật hoặc sửa đổi nào sau ngày Luật BVDLCN có hiệu lực (ngày 1 tháng 1 năm 2026), thì phải được thực hiện theo quy định của Luật BVDLCN.

k. Bảo vệ dữ liệu cá nhân trong một số lĩnh vực cụ thể: Luật BVDLCN đưa ra các quy định riêng điều chỉnh việc bảo vệ dữ liệu cá nhân trong một số lĩnh vực, bao gồm bảo vệ dữ liệu cá nhân của những người dễ bị tổn thương, lao động, chăm sóc sức khỏe và bảo hiểm, tài chính và ngân hàng, quảng cáo, mạng xã hội và truyền thông trực tuyến, dữ liệu lớn/trí tuệ nhân tạo/chuỗi khối/vũ trụ ảo/điện toán đám mây, dữ liệu vị trí và sinh trắc học, và ghi âm, ghi hình tại nơi công cộng. Có thể thấy, các doanh nghiệp trong các lĩnh vực khác nhau sẽ phải tuân thủ các yêu cầu về bảo vệ dữ liệu cá nhân khác nhau.

l. Chế tài xử phạt: Luật BVDLCN đã thiết lập các mức xử phạt vi phạm hành chính nghiêm khắc căn cứ vào mức doanh thu, cùng với các trách nhiệm dân sự và hình sự, đối với hành vi vi phạm quy định pháp luật về bảo vệ dữ liệu cá nhân. Mức phạt tiền cụ thể áp dụng đối với tổ chức bao gồm (i) tối đa 10 lần khoản thu có được từ hành vi vi phạm đối với hành vi mua, bán dữ liệu cá nhân, (ii) tối đa 5% doanh thu của năm trước liền kề đối với hành vi vi phạm quy định chuyển dữ liệu cá nhân xuyên biên giới, và (iii) tối đa 03 tỷ đồng đối với các hành vi vi phạm khác trong lĩnh vực bảo vệ dữ liệu cá nhân (mức phạt tiền đối với cá nhân bằng một phần hai mức phạt tiền đối với tổ chức).

Nhìn chung, Luật BVDLCN đã thay đổi đáng kể khung pháp lý về bảo vệ dữ liệu cá nhân được thiết lập bởi Nghị định BVDLCN. Mặc dù Luật BVDLCN không quy định minh thị việc chấm dứt hiệu lực của Nghị định BVDLCN, nhưng xét về hệ thống phân cấp pháp lý, Luật BVDLCN (luật do Quốc hội ban hành) sẽ có giá trị áp dụng ưu tiên hơn so với Nghị định BVDLCN (nghị định do Chính phủ ban hành) trong trường hợp có sự mâu thuẫn. Căn cứ các nội dung nêu trên, Chính phủ có thể sẽ ban hành nghị định hướng dẫn trước ngày Luật BVDLCN có hiệu lực, theo đó chính thức chấm dứt hiệu lực của Nghị định BVDLCN hoặc sửa đổi đáng kể các quy định của Nghị định BVDLCN cho mục đích thống nhất với các quy định của Luật BVDLCN.

2. Nghĩa vụ đánh giá tác động theo Luật BVDLCN và Luật Dữ liệu

Vừa qua, Luật Dữ liệu và Nghị định 165/2025/NĐ-CP hướng dẫn Luật Dữ liệu đã được ban hành và đã bắt đầu có hiệu lực kể từ ngày 1 tháng 7 năm 2025. Hai văn bản pháp luật này đã thiết lập phạm vi điều chỉnh rộng hơn phạm vi bảo vệ dữ liệu cá nhân theo Luật BVDLCN, qua đó cung cấp khuôn khổ pháp lý chung cho việc quản lý dữ liệu tại Việt Nam.

Theo Luật Dữ liệu, bên chuyển dữ liệu phải lập và gửi hồ sơ đánh giá tác động chuyển, xử lý dữ liệu xuyên biên giới cho cơ quan có thẩm quyền trong trường hợp chuyển, xử lý xuyên biên giới “dữ liệu quan trọng” (ví dụ, dữ liệu công dân cơ bản của 100.000 công dân Việt Nam trở lên, dữ liệu công dân nhạy cảm của 10.000 công dân Việt Nam trở lên, v.v.) và “dữ liệu cốt lõi” (ví dụ, dữ liệu công dân cơ bản của 1.000.000 công dân Việt Nam trở lên, dữ liệu công dân nhạy cảm của 100.000 công dân Việt Nam trở lên, v.v.). Việc chuyển giao, xử lý xuyên biên giới “dữ liệu quan trọng” không cần phải có sự chấp thuận của cơ quan có thẩm quyền trước khi thực hiện, tuy nhiên việc chuyển giao, xử lý xuyên biên giới “dữ liệu cốt lõi” cần phải được cơ quan có thẩm quyền chấp thuận trước khi thực hiện.

Nghĩa vụ đánh giá tác động theo quy định tại Luật Dữ liệu, trong chừng mực nhất định, có thể trùng lặp với nghĩa vụ đánh giá tác động theo Luật BVDLCN. Để giải quyết vấn đề này, cả Luật Dữ liệu và Luật BVDLCN đều có các quy định miễn trừ. Cụ thể, Luật Dữ liệu quy định rằng các chủ thể đã tuân thủ nghĩa vụ đánh giá tác động áp dụng đối với “dữ liệu quan trọng” và/hoặc “dữ liệu cốt lõi” thì được miễn trừ khỏi nghĩa vụ đánh giá tác động theo pháp luật về bảo vệ dữ liệu cá nhân (Luật BVDLCN). Ngược lại, Luật BVDLCN quy định rằng nếu cơ quan, tổ chức, cá nhân thực hiện đánh giá tác động xử lý dữ liệu cá nhân, đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới theo quy định của Luật BVDLCN thì không phải thực hiện nghĩa vụ đánh giá tác động theo quy định của Luật Dữ liệu.

3. Nội dung cần chuẩn bị

Dưới đây là những nội dung mà doanh nghiệp cần thực hiện để đảm bảo cho việc tuân thủ trong tương lai:

a. Đánh giá toàn diện về phân loại dữ liệu: Các quy định về dữ liệu đang phát triển theo hai khung pháp lý, Luật BVDLCN và Luật Dữ liệu, mỗi khung pháp lý có cách tiếp cận khác nhau về tuân thủ, do đó doanh nghiệp cần phải đánh giá cẩn trọng các hoạt động xử lý dữ liệu của mình. Việc đánh giá của doanh nghiệp không chỉ cần thực hiện đối với dữ liệu cá nhân cơ bản và nhạy cảm (như được phân loại theo Nghị định BVDLCN và Luật BVDLCN) mà còn đối với bất kỳ dữ liệu quan trọng hoặc cốt lõi nào theo Luật Dữ liệu.

b. Phân tích toàn diện khoảng cách giữa hiện trạng tuân thủ của doanh nghiệp và quy định của pháp luật: Doanh nghiệp nên tiến hành phân tích toàn diện và xác định bất kỳ khoảng cách nào giữa quy định của pháp luật và hiện trạng tuân thủ của doanh nghiệp liên quan đến bảo vệ dữ liệu cá nhân. Cụ thể, doanh nghiệp cần xem xét các chính sách, quy trình nội bộ và thực tiễn hoạt động, đảm bảo phù hợp với cả khung pháp lý về bảo vệ dữ liệu cá nhân (Nghị định BVDLCN và Luật BVDLCN) và các nghĩa vụ tuân thủ quy định tại Luật Dữ liệu. Để hiệu quả, việc phân tích và đánh giá nên được điều chỉnh phù hợp với hoạt động kinh doanh cụ thể của doanh nghiệp bằng cách xem xét các quy định pháp luật áp dụng như quy định về an ninh mạng, bảo vệ quyền lợi người tiêu dùng và các yêu cầu tuân thủ cụ thể của từng lĩnh vực. Dựa trên kết quả đánh giá này, doanh nghiệp có thể xác định những điểm cần cập nhật hoặc điều chỉnh – như mẫu thư đồng ý, chính sách nội bộ, đánh giá tác động, hoặc điều khoản hợp đồng với nhà cung cấp và bên thứ ba – để đảm bảo tuân thủ pháp luật ở mức cao nhất có thể.

c. Cập nhật thông tin về nghị định hướng dẫn Luật BVDLCN: Doanh nghiệp cần chú ý cập nhật thông tin kịp thời về nghị định hướng dẫn Luật BVDLCN để đảm bảo tuân thủ kịp thời và thống nhất với quy định pháp luật.