Dữ liệu nhạy cảm: Những gì doanh nghiệp bạn đang xử lý mà chưa biết

Theo Luật Bảo vệ Dữ liệu Cá nhân 2025, dữ liệu nhạy cảm là loại thông tin mà khi bị tiết lộ, sử dụng sai hoặc khai thác trái phép có thể xâm phạm đến danh dự, nhân phẩm, tài sản, tính mạng, tự do hoặc quyền riêng tư của cá nhân, ảnh hưởng trực tiếp đến quyền và lợi ích hợp pháp của doanh nghiệp, cá nhân, cơ quan tổ chức được pháp luật bảo vệ. Thực tế thì sau những vụ rò rĩ về Dữ liệu người dùng thì thời gian gần đây những hành lang pháp lý mới được nâng cấp để có thể điều chỉnh được các hành động phát sinh liên quan đến DLCN, trong đó có nhóm dữ liệu cá nhân nhạy cảm.

Với bối cảnh đa dạng hóa các hoạt động kinh doanh, phương thức làm việc, cũng như tốc độ công nghệ số, AI phát triển như hiện tại thì các loại dữ liệu cá nhân nhạy cảm đang do các doanh nghiệp nắm giữ rất lớn, nhưng để chắc chắn rằng doanh nghiệp có hiểu rõ được họ đang nắm giữu những dữ liệu cá nhân nhạy cảm nào, pháp luật đặt doanh nghiệp vào các nghĩa vụ nào phải thực hiện khi doanh nghiệp đang thực hiện một loạt các hành vi từ thu thập, xử lý, chuyển giao dữ liệu nhạy cảm mà đôi khi chính doanh nghiệp cũng chưa hiểu hết được. Bài viết dưới đây sẽ chia sẻ rõ hơn về vấn đề này.

1. Khi mọi lĩnh vực đều chạm tới dữ liệu nhạy cảm

Dữ liệu cá nhân nhạy cảm là dữ liệu cá nhân gắn liền với quyền riêng tư của cá nhân, khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp đến quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân, thuộc danh mục do Chính phủ ban hành. Không chỉ các ngân hàng hay bệnh viện mới xử lý dữ liệu nhạy cảm. Ngày nay, mọi doanh nghiệp số hóa quy trình – từ nhân sự đến marketing – đều có thể đang vận hành trong vùng rủi ro pháp lý cao này.

Vậy những thông tin nào được xem là dữ liệu nhạy cảm? hiện Luật Bảo vệ dữ liệu cá nhân chưa đề cập chi tiết về vấn đề này, tuy nhiên Nghị định 13/2023/NĐ- CP đã liệt kê ra các loại thông tin được hiểu là dữ liệu cá nhân nhạy cảm, và chúng tôi nhận thấy khi các văn bản dưới luật được ban hành để hướng dẫn thì ít nhiều cũng sẽ có sự kế thừa từ quy định trước đây. Theo đó, dữ liệu cá nhân nhạy cảm sẽ bao gồm các dữ liệu thuộc về:

• Quan điểm ​​chính trị, quan điểm tôn giáo;
• Tình trạng sức khỏe và đời tư được ghi trong hồ sơ bệnh án, không bao gồm thông tin về nhóm máu;
• Thông tin liên quan đến nguồn gốc chủng tộc, nguồn gốc dân tộc;
• Thông tin về đặc điểm di truyền được thừa hưởng hoặc có được của cá nhân;
• Thông tin về thuộc tính vật lý, đặc điểm sinh học riêng của cá nhân;
• Dữ liệu về tội phạm, hành vi phạm tội được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật;
• Thông tin khách hàng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, các tổ chức được phép khác, gồm: thông tin định danh khách hàng theo quy định của pháp luật, thông tin về tài khoản, thông tin về tiền gửi, thông tin về tài sản gửi, thông tin về giao dịch, thông tin về tổ chức, cá nhân là bên bảo đảm tại tổ chức tín dụng, chi nhánh ngân hàng, tổ chức cung ứng dịch vụ trung gian thanh toán;
• Dữ liệu về vị trí của cá nhân được xác định qua dịch vụ định vị;
• Dữ liệu cá nhân khác được pháp luật quy định là đặc thù và cần có biện pháp bảo mật cần thiết.

2. Nhóm ngành nghề nào đang nắm giữ khối lượng lớn dữ liệu cá nhân nhạy cảm?

Đầu tiên sẽ phải kể đến là các ngành về Y tế, theo đó không chỉ đơn thuần lưu giữ dữ liệu cá nhân, mà các bệnh viện, trung tâm khám sức khỏe, các trung tâm xét nghiệm …hiện đang nắm giữ nhiều dữ liệu nhạy cảm của các cá nhân thăm khám bệnh. Các dữ liệu nhạy cảm được ghi nhận tại  hồ sơ bệnh án, kết quả xét nghiệm, dữ liệu gen, tình trạng tâm lý, thậm chí là thói quen sức khỏe thu thập từ thiết bị đeo tay … một số trường hợp là việc chuyển dữ liệu nhạy cảm xuyên biên giới cho mục đích xét nghiệm, chẩn đoán các bệnh lý mà ở Việt Nam chưa thực hiện được.

Tiếp theo là nhóm tài chính, ngân hàng và bảo hiểm. Gần đây không ít những rò rỉ về thông tin tín dụng của người dùng đã đặt ra sự báo động cho việc quản lý, kiểm soát an toàn cho dữ liệu cá nhân đặc biệt là nhóm dữ liệu nhạy cảm. Chúng ta sẽ chưa bàn đến mức độ thiệt hại của việc rò rỉ dữ liệu giữa nhóm dữ liệu tài chính ngân hàng với các dữ liệu trong lĩnh vực khác. Nhưng trước hết chúng ta nhận thức rõ rằng thiệt hại từ những rò rỉ thông tin nhạy cảm như:  số tài khoản, giao dịch, lịch sử tín dụng, ảnh chân dung eKYC, dấu vân tay, hoặc thông tin người thụ hưởng bảo hiểm … có thể dẫn đến gian lận, chiếm đoạt tài sản hoặc rửa tiền. Do đó, Luật 2025 yêu cầu các tổ chức tài chính có trách nhiệm tuân thủ quy định; áp dụng các biện pháp phòng, chống truy cập, sử dụng, tiết lộ, chỉnh sửa trái phép dữ liệu cá nhân của khách hàng; có giải pháp khôi phục dữ liệu cá nhân của khách hàng trong trường hợp bị mất; bảo mật trong quá trình thu thập, cung cấp, xử lý dữ liệu cá nhân của khách hàng phục vụ đánh giá thông tin tín dụng.

Ngoài ra các nhóm ngành về xã hội học, phát triển ứng dụng, thương mại điện tử …. Cũng đang thu thập một khối lượng lớn các thông tin dữ liệu nhạy cảm, và khi luật đã được áp dụng đi kèm với các chế tài về phạt hay tạm dừng các hoạt động liên quan đến dữ liệu, thì chúng tôi cho rằng đây sẽ là những nhóm ngành, lĩnh vực cần tiên phong trong việc tuân thủ đúng quy định của pháp luật về bảo vệ dữ liệu cá nhân, để ít nhất hoạt động kinh doanh của doanh nghiệp đó không bị gián đoạn.

3. Nghĩa vụ pháp lý cốt lõi đối với dữ liệu nhạy cảm

Luật Bảo vệ dữ liệu cá nhân hiện chưa cụ thể hóa các nghĩa vụ mà nhóm doanh nghiệp đang nắm giữ dữ liệu nhạy cảm phải thực hiện, thời gian tới khi văn bản hướng dẫn được ban hành, thì phương thức pháp luật đặt ra cho doanh nghiệp trong việc bảo vệ dữ liệu nhạy cảm sẽ được quy định cụ thể hơn. Về phía Nghị định 13/2023/NĐ – CP, thì đã quy định việc doanh nghiệp sẽ cần áp dụng các biện pháp để bảo vệ dữ liệu cá nhân nhạy cảm như:  Chỉ định bộ phận có chức năng bảo vệ dữ liệu cá nhân, chỉ định nhân sự phụ trách bảo vệ dữ liệu cá nhân và trao đổi thông tin về bộ phận và cá nhân phụ trách bảo vệ dữ liệu cá nhân với Cơ quan chuyên trách bảo vệ dữ liệu cá nhân. Trường hợp Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu, Bên thứ ba là cá nhân thì trao đổi thông tin của cá nhân thực hiện. Thông báo cho chủ thể dữ liệu biết việc dữ liệu cá nhân nhạy cảm của chủ thể dữ liệu được xử lý.

Trong bối cảnh Luật Bảo vệ Dữ liệu Cá nhân 2025 đã trở thành văn hành lang pháp lý cho mọi hoạt động xử lý dữ liệu, hiểu – kiểm soát – và chứng minh tuân thủ đối với dữ liệu nhạy cảm không còn là lựa chọn, mà là yêu cầu bắt buộc. CDLAF đồng hành cùng doanh nghiệp trong việc xây dựng bản đồ dữ liệu, đánh giá tác động (DPIA), và thiết lập khung quản trị dữ liệu nhạy cảm, giúp tổ chức chuyển từ phản ứng tuân thủ sang chủ động quản trị rủi ro, bảo vệ cả niềm tin và giá trị thương hiệu trong kỷ nguyên kinh tế dữ liệu.

Thời gian viết bài: 14/10/2025

Bài viết ghi nhận thông tin chung có giá trị tham khảo, trường hợp bạn mong muốn nhận ý kiến pháp lý liên quan đến các vấn đề mà bạn đang vướng mắc, bạn vui lòng liên hệ với Luật sư của chúng tôi theo email info@cdlaf.vn

Bạn có thể tham thảo thêm:

• Doanh nghiệp cần lưu ý gì khi chào bán cổ phần riêng lẻ
• gười nước ngoài ly hôn tại Việt Nam và phân chia tài sản
• Điều kiện và vấn đề cần lưu ý khi người nước ngoài ly hôn tại Việt Nam
• Hướng dẫn doanh nghiệp sử dụng tài khoản vay và trả nợ khoản vay nước ngoài
• Khi nào thì doanh nghiệp xác lập hợp đồng vay nước ngoài ngắn hạn, hợp đồng dài hạn
• Làm sao để khoản vay nước ngoài đúng luật?