개인정보·데이터

Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân: Phạm vi, quyền của chủ thể và nghĩa vụ tuân thủ

2026-07-05 · 7분 읽기 · Phòng tin MeshLaw

Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân, có hiệu lực từ ngày 01/7/2023, là văn bản pháp lý chuyên biệt đầu tiên của Việt Nam điều chỉnh một cách hệ thống hoạt động xử lý dữ liệu cá nhân. Đối với bộ phận pháp chế doanh nghiệp và luật sư tư vấn, việc nắm vững cấu trúc nghĩa vụ của Nghị định không còn là lựa chọn mà đã trở thành yêu cầu cốt lõi trong quản trị rủi ro tuân thủ.

Phạm vi áp dụng và các khái niệm nền tảng

Nghị định 13 áp dụng cho cơ quan, tổ chức, cá nhân Việt Nam; cơ quan, tổ chức, cá nhân nước ngoài tại Việt Nam; cũng như tổ chức, cá nhân Việt Nam và nước ngoài trực tiếp tham gia hoặc có liên quan đến hoạt động xử lý dữ liệu cá nhân tại Việt Nam. Đặc điểm về hiệu lực lãnh thổ mở rộng này nghĩa là một doanh nghiệp nước ngoài xử lý dữ liệu của công dân Việt Nam vẫn có thể thuộc phạm vi điều chỉnh, tương tự cách tiếp cận của nhiều khung pháp lý quốc tế.

Nghị định phân loại dữ liệu cá nhân thành hai nhóm:

  • Dữ liệu cá nhân cơ bản: họ tên, ngày tháng năm sinh, giới tính, nơi cư trú, số điện thoại, số căn cước công dân, thông tin tài khoản, dữ liệu phản ánh hoạt động trên không gian mạng và các thông tin gắn liền với việc nhận diện một con người cụ thể.
  • Dữ liệu cá nhân nhạy cảm: quan điểm chính trị và tôn giáo, tình trạng sức khỏe, thông tin di truyền, sinh trắc học, đời sống và xu hướng tình dục, dữ liệu về tội phạm, thông tin tài chính, vị trí địa lý và một số loại dữ liệu khác. Nhóm này chịu chế độ bảo vệ nghiêm ngặt hơn.

Nghị định cũng định nghĩa rõ vai trò của Bên Kiểm soát dữ liệu, Bên Xử lý dữ liệu, Bên Kiểm soát và xử lý dữ liệuBên thứ ba. Việc xác định đúng vai trò của doanh nghiệp trong từng luồng dữ liệu là bước đầu tiên để phân bổ nghĩa vụ pháp lý một cách chính xác.

Quyền của chủ thể dữ liệu

Một trong những điểm cốt lõi của Nghị định là hệ thống quyền dành cho chủ thể dữ liệu — cá nhân được xác định hoặc có thể xác định thông qua dữ liệu. Các quyền bao gồm:

  • Quyền được biết về hoạt động xử lý dữ liệu của mình.
  • Quyền đồng ý hoặc không đồng ý đối với việc xử lý dữ liệu.
  • Quyền truy cập để xem, chỉnh sửa dữ liệu cá nhân.
  • Quyền rút lại sự đồng ý.
  • Quyền xóa dữ liệu.
  • Quyền hạn chế xử lý dữ liệu.
  • Quyền yêu cầu cung cấp dữ liệu.
  • Quyền phản đối xử lý dữ liệu.
  • Quyền khiếu nại, tố cáo, khởi kiệnquyền yêu cầu bồi thường thiệt hại.

Điểm đáng lưu ý về mặt thực thi là Nghị định quy định thời hạn phản hồi: bên kiểm soát dữ liệu nói chung phải thực hiện yêu cầu của chủ thể dữ liệu trong 72 giờ kể từ khi nhận được yêu cầu (trừ trường hợp pháp luật có quy định khác). Doanh nghiệp cần thiết lập quy trình nội bộ để đáp ứng khung thời gian này.

Sự đồng ý — nền tảng của xử lý hợp pháp

Nghị định 13 lấy sự đồng ý làm cơ sở pháp lý trung tâm. Sự đồng ý chỉ có giá trị khi chủ thể dữ liệu tự nguyện và biết rõ các nội dung: loại dữ liệu được xử lý, mục đích xử lý, bên được xử lý, và quyền, nghĩa vụ của chủ thể. Sự đồng ý phải được thể hiện rõ ràng, cụ thể bằng văn bản, giọng nói, đánh dấu đồng ý, cú pháp tin nhắn hoặc hình thức khác thể hiện được. Sự im lặng hoặc không phản hồi không được coi là đồng ý.

Đối với dữ liệu nhạy cảm, chủ thể dữ liệu phải được thông báo rằng dữ liệu cần xử lý là dữ liệu nhạy cảm. Nghị định cũng liệt kê một số trường hợp xử lý dữ liệu không cần sự đồng ý, chẳng hạn trong tình huống khẩn cấp bảo vệ tính mạng, sức khỏe; theo quy định của luật; phục vụ hoạt động của cơ quan nhà nước theo luật định; hoặc để thực hiện nghĩa vụ theo hợp đồng.

Nghĩa vụ của bên kiểm soát và bên xử lý dữ liệu

Ngoài việc bảo đảm cơ sở pháp lý, doanh nghiệp phải thực hiện một loạt nghĩa vụ mang tính thủ tục và kỹ thuật:

  • Lập và lưu Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân (DPIA): Bên kiểm soát, bên kiểm soát và xử lý dữ liệu phải lập hồ sơ này và luôn có sẵn để phục vụ hoạt động kiểm tra của Bộ Công an. Hồ sơ phải được gửi tới cơ quan chuyên trách bảo vệ dữ liệu cá nhân (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao – A05) trong vòng 60 ngày kể từ ngày tiến hành xử lý.
  • Áp dụng biện pháp bảo vệ dữ liệu về mặt quản lý và kỹ thuật để phòng ngừa việc thu thập, chuyển giao, làm lộ trái phép.
  • Thông báo vi phạm: Khi phát hiện vi phạm quy định bảo vệ dữ liệu, bên kiểm soát phải thông báo cho cơ quan chuyên trách chậm nhất 72 giờ sau khi xảy ra hành vi vi phạm.
  • Chỉ định bộ phận, nhân sự phụ trách bảo vệ dữ liệu cá nhân, đặc biệt khi xử lý dữ liệu nhạy cảm.

Chuyển dữ liệu cá nhân ra nước ngoài

Chuyển dữ liệu xuyên biên giới là nội dung được doanh nghiệp có yếu tố nước ngoài quan tâm nhất. Nghị định cho phép chuyển dữ liệu cá nhân của công dân Việt Nam ra nước ngoài, nhưng đặt ra điều kiện thủ tục:

  • Bên chuyển dữ liệu phải lập Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài và luôn có sẵn để phục vụ kiểm tra.
  • Bản chính hồ sơ phải gửi cho cơ quan chuyên trách trong vòng 60 ngày kể từ ngày tiến hành xử lý.
  • Bên chuyển dữ liệu phải thông báo cho cơ quan chuyên trách thông tin về việc chuyển và đầu mối liên hệ sau khi việc chuyển dữ liệu thành công.

Điều quan trọng là Nghị định không đặt ra yêu cầu "bản địa hóa" tuyệt đối cho mọi hoạt động chuyển dữ liệu; tuy nhiên cơ chế đánh giá tác động và trách nhiệm giải trình tạo ra gánh nặng tuân thủ đáng kể, nhất là với các tập đoàn đa quốc gia có luồng dữ liệu nội bộ phức tạp.

Khuyến nghị thực tiễn cho bộ phận pháp chế

Để chuẩn bị tuân thủ, doanh nghiệp nên: (i) lập bản đồ luồng dữ liệu (data mapping) để xác định vai trò và loại dữ liệu; (ii) rà soát lại chính sách quyền riêng tư và cơ chế thu thập đồng ý; (iii) xây dựng quy trình đáp ứng quyền chủ thể trong 72 giờ; (iv) hoàn thiện các hồ sơ DPIA và hồ sơ chuyển dữ liệu ra nước ngoài; và (v) thiết lập kịch bản ứng phó sự cố dữ liệu. Trong bối cảnh Việt Nam đang tiến tới ban hành một đạo luật cấp cao hơn về bảo vệ dữ liệu cá nhân, việc kiện toàn hệ thống tuân thủ ngay từ nền tảng Nghị định 13 sẽ giúp doanh nghiệp giảm thiểu rủi ro pháp lý và duy trì niềm tin của khách hàng.

법률 업무에 AI, 신중하게 도입하세요

MeshLaw는 변호사를 위한 AI 사건관리 도구입니다. 환각 없이, 검증 가능하게.

MeshLaw 살펴보기 →

← 전체 브리핑 보기

변호사를 위한 AI 사건관리 — MeshLaw 무료로 써보기 →