Vào ngày 17 tháng 4 năm 2023, Chính phủ Việt Nam đã ban hành Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân (“Nghị Định 13”), văn bản pháp lý đầu tiên tại Việt Nam quy định khung pháp lý toàn diện cho việc bảo vệ dữ liệu cá nhân. Ngoài việc dựa trên một số khía cạnh của Quy Định Chung Về Bảo Vệ Dữ Liệu (General Data Protection Regulation, “GDPR”) của Liên minh Châu Âu, Nghị Định 13 cũng đưa ra một số yêu cầu mới đối với các tổ chức và cá nhân tham gia các hoạt động xử lý dữ liệu cá nhân tại Việt Nam. Dưới đây là tổng hợp những quy định đáng chú ý của Nghị Định 13:

1. Phạm vi áp dụng: Nghị Định 13 áp dụng cho cá nhân, tổ chức Việt Nam (bao gồm cả tổ chức hoạt động ở nước ngoài) và cả pháp nhân nước ngoài hoạt động tại Việt Nam, hoặc trực tiếp tham gia hoặc có liên quan đến hoạt động xử lý dữ liệu cá nhân tại Việt Nam (Điều 1.2).

2. Các thuật ngữ chính: Tương tự Dự Thảo Nghị Định về bảo vệ dữ liệu cá nhân (“Dự Thảo BVDLCN”), được phát hành vào năm 2021 để lấy ý kiến rộng rãi, Nghị Định 13 bao gồm các định nghĩa rộng về các thuật ngữ chính. Cụ thể là:

  • Dữ liệu cá nhân” là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể. Dữ liệu cá nhân bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm (Điều 2.1).
  • Dữ liệu cá nhân cơ bản” bao gồm tên, ngày sinh, giới tính, nơi sinh, địa chỉ, quốc tịch, hình ảnh cá nhân, số điện thoại, số CMND/CCCD, số hộ chiếu, số giấy phép lái xe, biển số xe, mã số thuế cá nhân, số bảo hiểm xã hội, số thẻ bảo hiểm y tế, tình trạng hôn nhân, thông tin về mối quan hệ gia đình, dữ liệu về tài khoản số, dữ liệu phản ánh hoạt động, lịch sử hoạt động trên không gian mạng và các dữ liệu khác không được phân loại là “dữ liệu cá nhân nhạy cảm” (Điều 2.3).
  • Dữ liệu cá nhân nhạy cảm” là dữ liệu cá nhân gắn liền với quyền riêng tư của cá nhân mà khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp tới quyền và lợi ích hợp pháp của cá nhân. Danh sách dữ liệu cá nhân nhạy cảm rất rộng và còn có thể được bổ sung thêm, bao gồm: (i) Quan điểm ​​chính trị, quan điểm tôn giáo; (ii) Tình trạng sức khỏe và đời tư được ghi trong hồ sơ bệnh án (không bao gồm thông tin về nhóm máu); (iii) Thông tin liên quan đến nguồn gốc chủng tộc, nguồn gốc dân tộc; (iv) Thông tin về đặc điểm di truyền được thừa hưởng hoặc có được của cá nhân; (v) Thông tin về thuộc tính vật lý, đặc điểm sinh học riêng của cá nhân; (vi) Thông tin về đời sống tình dục, xu hướng tình dục của cá nhân; (vii) Dữ liệu về tội phạm, hành vi phạm tội được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật;; (viii) Thông tin khách hàng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, các tổ chức được phép khác; (ix) Dữ liệu về vị trí của cá nhân được xác định qua dịch vụ định vị; và (x) Dữ liệu cá nhân khác được pháp luật quy định là đặc thù và cần có biện pháp bảo mật cần thiết (Điều 2.4).
  • Xử lý dữ liệu cá nhân” là một hoặc nhiều hoạt động tác động tới dữ liệu cá nhân, như: thu thập, ghi, phân tích, lưu trữ, chỉnh sửa, công khai, mã hóa, sao chép, chia sẻ, chuyển giao, hoặc các hành động khác có liên quan (Điều 2.7).

3. Nguyên tắc bảo vệ dữ liệu cá nhân: (i) tính hợp pháp, (ii) tính minh bạch, (iii) giới hạn mục đích, (iv) giảm thiểu dữ liệu, (v) tính chính xác, (vi) tính toàn vẹn, bảo mật và an ninh, (vii) giới hạn lưu trữ và (viii) trách nhiệm giải trình. Nghị Định 13 nghiêm cấm mua bán dữ liệu cá nhân dưới mọi hình thức, trừ trường hợp pháp luật có quy định khác (Điều 3).

4. Đối tượng điều chỉnh: Tương tự như GDPR, Nghị Định 13 chủ yếu điều chỉnh ba (3) chủ thể: “bên kiểm soát dữ liệu cá nhân”, “bên xử lý dữ liệu cá nhân” và “bên kiểm soát và xử lý dữ liệu cá nhân”, có chức năng vừa là bên kiểm soát dữ liệu cá nhân vừa là bên xử lý dữ liệu cá nhân (Điều 2.9, 2.10 và 2.11).

5. Quyền của chủ thể dữ liệu: (i) quyền được biết, (ii) quyền đồng ý, (iii) quyền truy cập, (iv) quyền rút lại sự đồng ý, (v) quyền xóa dữ liệu, (vi) quyền hạn chế xử lý dữ liệu, (vii) quyền cung cấp dữ liệu, (viii) quyền phản đối xử lý dữ liệu (ix) quyền khiếu nại, tố cáo, khởi kiện (x) quyền yêu cầu bồi thường thiệt hại và (xi) quyền tự bảo vệ (Điều 9).

6. Sự đồng ý của chủ thể dữ liệu: (Điều 11 và 12)

  • Cần có sự đồng ý cho tất cả các giai đoạn xử lý dữ liệu, trừ khi pháp luật có quy định khác. Nếu dữ liệu được xử lý cho các mục đích khác nhau, bên kiểm soát dữ liệu cá nhân và tổ chức kiểm soát và xử lý dữ liệu phải liệt kê từng mục đích và chủ thể dữ liệu sẽ có quyền chấp thuận từng mục đích riêng lẻ.
  • Sự đồng ý chỉ có hiệu lực nếu chủ thể dữ liệu đồng ý một cách tự nguyện và được thông báo rõ ràng về (i) loại dữ liệu đang được xử lý, (ii) (các) mục đích của việc xử lý, (iii) cá nhân hoặc tổ chức xử lý dữ liệu và (iv) quyền và nghĩa vụ của chủ thể dữ liệu.
  • Sự đồng ý phải được thể hiện rõ ràng và cụ thể bằng (i) văn bản, (ii) giọng nói, (iii) đánh dấu vào ô đồng ý, (iv) cú pháp đồng ý qua tin nhắn, (v) chọn các thiết lập kỹ thuật đồng ý hoặc (vi) hành động khác biểu thị sự đồng ý. Sự im lặng hoặc không phản hồi của chủ thể dữ liệu không được coi là sự đồng ý. Chủ thể dữ liệu có thể đồng ý một phần hoặc với điều kiện kèm theo. Việc cấp hoặc rút lại sự đồng ý phải được thể hiện ở một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được.
  • Sự đồng ý của chủ thể dữ liệu có hiệu lực cho tới khi chủ thể dữ liệu có quyết định khác hoặc khi cơ quan nhà nước có thẩm quyền yêu cầu bằng văn bản. Việc rút lại sự đồng ý không ảnh hưởng đến tính hợp pháp của việc xử lý dữ liệu đã được đồng ý trước khi rút lại sự đồng ý.

7. Hành động khi nhận được yêu cầu của chủ thể dữ liệu: bên kiểm soát dữ liệu cá nhân và tổ chức kiểm soát và xử lý dữ liệu cá nhân phải tuân thủ yêu cầu của chủ thể dữ liệu trong vòng 72 giờ kể từ khi nhận được yêu cầu hạn chế hoặc xử lý dữ liệu, phản đối việc xử lý, cung cấp dữ liệu cá nhân, sửa đổi dữ liệu cá nhân hoặc lưu trữ hoặc xóa dữ liệu cá nhân (Điều 9.6(b), 9.8(b), 14.3, 15.2 và 16.5).

8. Xử lý dữ liệu cá nhân trong trường hợp không cần sự đồng ý của chủ thể dữ liệu: Các trường hợp dữ liệu cá nhân được xử lý mà không cần sự đồng ý của chủ thể dữ liệu được quy định tương tự như Nghị Quyết số 13/NQ-CP ngày 07 tháng 02 năm 2023 của Chính phủ, bao gồm (Điều 17 và 18):

  • Việc xử lý dữ liệu cá nhân với mục đích̉ bảo vệ tính mạng, sức khỏe của chủ thể dữ liệu hoặc người khác trong trường hợp khẩn cấp. Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên thứ ba có trách nhiệm chứng minh trường hợp này;
  • Việc công khai dữ liệu cá nhân theo quy định của luật;
  • Việc xử lý dữ liệu của cơ quan nhà nước có thẩm quyền trong trường hợp tình trạng khẩn cấp về quốc phòng, an ninh quốc gia, trật tự an toàn xã hội, thảm họa lớn, dịch bệnh nguy hiểm; khi có nguy cơ đe dọa an ninh, quốc phòng nhưng chưa đến mức ban bố tình trạng khẩn cấp; phòng, chống bạo loạn, khủng bố, phòng, chống tội phạm và vi phạm pháp luật theo quy định của luật;
  • Để thực hiện nghĩa vụ theo hợp đồng của chủ thể dữ liệu với cơ quan, tổ chức, cá nhân có liên quan theo quy định của luật;
  • Phục vụ hoạt động của cơ quan nhà nước đã được quy định theo luật chuyên ngành; và
  • Việc xử lý dữ liệu cá nhân thu được từ hoạt động ghi âm, ghi hình tại nơi công cộng với mục đích bảo vệ an ninh quốc gia, trật tự an toàn xã hội, quyền và lợi ích hợp pháp của tổ chức, cá nhân theo quy định của pháp luật.

9. Đánh giá tác động xử lý dữ liệu cá nhân: Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân được yêu cầu chuẩn bị và lưu giữ hồ sơ đánh giá tác động của việc xử lý dữ liệu cá nhân (“Hồ sơ Đánh giá tác động xử lý dữ liệu cá nhân“) cho Bộ Công an. Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân phải được gửi Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) trong thời gian 60 ngày kể từ ngày tiến hành xử lý dữ liệu cá nhân. Bất kỳ cập nhật, bổ sung Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân khi có sự thay đổi về nội dung hồ sơ đã gửi phải được báo cáo cho Bộ Công an (Điều 24).

10. Chuyển dữ liệu cá nhân ra nước ngoài:

  • Điều 2.14 của Nghị Định 13 xác định phạm vi chuyển dữ liệu cá nhân ra nước ngoài, bao gồm (i) việc sử dụng không gian mạng, phương tiện hoặc thiết bị điện tử hoặc các hình thức khác để chuyển dữ liệu cá nhân của công dân Việt Nam sang một địa điểm bên ngoài lãnh thổ Việt Nam, hoặc (ii) việc sử dụng một địa điểm bên ngoài lãnh thổ Việt Nam để xử lý dữ liệu cá nhân của công dân Việt Nam, bao gồm:
    • việc tổ chức, doanh nghiệp, cá nhân chuyển dữ liệu cá nhân của công dân Việt Nam cho tổ chức, doanh nghiệp, đơn vị quản lý ở nước ngoài để xử lý theo mục đích đã được sự đồng ý của chủ thể dữ liệu; và
    • việc xử lý dữ liệu cá nhân của công dân Việt Nam sử dụng hệ thống tự động đặt bên ngoài lãnh thổ Việt Nam bởi đơn vị kiểm soát, xử lý dữ liệu hoặc tổ chức kiểm soát, xử lý dữ liệu theo mục đích đã được sự đồng ý của chủ thể dữ liệu.
  • Khác với Dự Thảo BVDLCN, Nghị Định 13 bỏ yêu cầu đăng ký chuyển dữ liệu cá nhân ra nước ngoài (bao gồm cả dữ liệu cá nhân nhạy cảm). Thay vào đó, bên chuyển dữ liệu phải đáp ứng một số điều kiện (Điều 25.1, 25.3, 25.4 và 25.6):
    • Có được sự đồng ý của chủ thể dữ liệu đối với việc chuyển dữ liệu cá nhân ra nước ngoài;
    • Lập và lưu giữ hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài (“Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài”) phục vụ công tác kiểm tra, đánh giá của Bộ Công an. Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài phải được gửi cho Cục An ninh mạng và Phòng chống tội phạm công nghệ cao thuộc Bộ Công an trong thời gian 60 ngày kể từ ngày chuyển dữ liệu. Bất kỳ cập nhật hoặc thay đổi nào đối với Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài phải được báo cáo cho Bộ Công an; và
    • Sau khi chuyển dữ liệu thành công, gửi văn bản thông báo đến Cục An ninh mạng và Phòng chống tội phạm sử dụng công nghệ cao thuộc Bộ Công an, theo đó nêu rõ nội dung chuyển dữ liệu và thông tin liên hệ của tổ chức và/hoặc cá nhân chịu trách nhiệm.
  • Bộ Công an quyết định yêu cầu bên chuyển dữ liệu ra nước ngoài ngừng chuyển dữ liệu cá nhân ra nước ngoài trong trường hợp (Điều 25.8):
    • Khi phát hiện dữ liệu cá nhân được chuyển được sử dụng vào hoạt động vi phạm lợi ích, an ninh quốc gia của nước Cộng hòa xã hội chủ nghĩa Việt Nam;
    • Không tuân thủ yêu cầu của Bộ Công an về việc sửa đổi Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài; hoặc
    • Để xảy ra sự cố lộ, mất dữ liệu cá nhân của công dân Việt Nam.
  • Không giống như Dự Thảo BVDLCN, Nghị Định 13 không yêu cầu dữ liệu cá nhân phải được lưu trữ tại Việt Nam trong trường hợp chuyển dữ liệu cá nhân ra nước ngoài. Tuy nhiên, Nghị Định số 53/2022/NĐ-CP thi hành Luật An ninh mạng đã áp đặt yêu cầu nội địa hóa dữ liệu đối với việc chuyển dữ liệu cá nhân ra nước ngoài.

11. Biện pháp bảo vệ dữ liệu cá nhân: Nghị định 13 yêu cầu các biện pháp quản lý và kỹ thuật để bảo vệ dữ liệu cá nhân, bao gồm việc phân công bộ phận bảo vệ dữ liệu và cán bộ bảo vệ dữ liệu trong tổ chức/đơn vị (Điều 26, 27 và 28).

12. Ngày hiệu lực: Nghị Định 13 có hiệu lực từ ngày 01 tháng 7 năm 2023. Tuy nhiên, các doanh nghiệp siêu nhỏ, doanh nghiệp nhỏ, doanh nghiệp vừa, doanh nghiệp khởi nghiệp được quyền lựa chọn miễn trừ quy định về chỉ định cá nhân và bộ phận bảo vệ dữ liệu cá nhân trong thời gian 02 năm đầu kể từ khi thành lập doanh nghiệp (Điều 43.2).