Ngày 31/12/2025, Chính phủ ban hành Nghị định 356/2025/NĐ-CP hướng dẫn Luật Bảo vệ dữ liệu cá nhân 2025.
Cụ thể, Điều 4 Nghị định 356/2025/NĐ-CP đã nêu chi tiết danh mục cá nhân nhạy cảm từ 01/01/2026 bao gồm:
(1) Dữ liệu tiết lộ nguồn gốc chủng tộc, nguồn gốc dân tộc;
(2) Quan điểm về chính trị, tôn giáo, tín ngưỡng;
(3) Thông tin về đời sống riêng tư, bí mật cá nhân, bí mật gia đình;
(4) Tình trạng sức khỏe;
(5) Dữ liệu sinh trắc học, đặc điểm di truyền;
(6) Dữ liệu tiết lộ đời sống tình dục, xu hướng tình dục của cá nhân;
(7) Dữ liệu về tội phạm, vi phạm pháp luật được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật;
(8) Vị trí của cá nhân được xác định qua dịch vụ định vị;
(9) Thông tin tên đăng nhập và mật khẩu truy cập tài khoản định danh điện tử của cá nhân; hình ảnh thẻ căn cước, thẻ căn cước công dân, chứng minh nhân dân (Mới);
(10) Tên đăng nhập, mật khẩu truy cập của tài khoản ngân hàng; thông tin thẻ ngân hàng, dữ liệu về lịch sử giao dịch của tài khoản ngân hàng; thông tin tài chính, tín dụng và các thông tin về hoạt động, lịch sử giao dịch tài chính, chứng khoán, bảo hiểm của khách hàng tại các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, chứng khoán, bảo hiểm, các tổ chức được phép khác (Đã bổ sung chi tiết);
(11) Dữ liệu theo dõi hành vi, hoạt động sử dụng dịch vụ viễn thông, mạng xã hội, dịch vụ truyền thông trực tuyến và các dịch vụ khác trên không gian mạng (Mới);
(12) Dữ liệu cá nhân khác được pháp luật quy định cần giữ bí mật hoặc cần có biện pháp bảo mật chặt chẽ.
Ngoài ra, Nghị định 356/2025/NĐ-CP quy định trong quá trình xử lý dữ liệu cá nhân nhạy cảm, cơ quan, tổ chức phải thiết lập quy định phân quyền giới hạn truy cập, quy trình xử lý và các biện pháp bảo mật.
So với quy định cũ tại Nghị định 13/2023/NĐ-CP, quy định mới từ 01/01/2026 theo Nghị định 356/2025/NĐ-CP đã quy định cụ thể hơn dữ liệu cá nhân nhạy cảm trong lĩnh vực ngân hàng, tài chính như lịch sử giao dịch tài chính, chứng khoán, bảo hiểm,…
Đồng thời bổ sung mới dữ liệu theo dõi hành vi người dùng sử dụng dịch mạng xã hội và các dịch vụ khác trên mạng; thông tin đăng nhập tài khoản VNeID, hình ảnh thẻ căn cước, thẻ căn cước công dân vào danh mục dữ liệu cá nhân nhạy cảm.
Theo Luật Bảo vệ dữ liệu cá nhân 2025, dữ liệu cá nhân là dữ liệu số hoặc thông tin dưới dạng khác xác định hoặc giúp xác định một con người cụ thể, bao gồm:
- Dữ liệu cá nhân cơ bản: Là dữ liệu cá nhân phản ánh các yếu tố nhân thân, lai lịch phổ biến, thường xuyên sử dụng trong các giao dịch, quan hệ xã hội, thuộc danh mục do Chính phủ ban hành.
- Dữ liệu cá nhân nhạy cảm: Là dữ liệu cá nhân phản ánh các yếu tố nhân thân, lai lịch phổ biến, thường xuyên sử dụng trong các giao dịch, quan hệ xã hội, thuộc danh mục do Chính phủ ban hành.
Bổ sung danh mục dữ liệu cá nhân nhạy cảm từ 01/01/2026 (Hình từ internet)
(1) Các phương thức xin sự đồng ý của chủ thể dữ liệu cá nhân phải bảo đảm khả năng kiểm chứng được về việc xác định chủ thể dữ liệu cá nhân đã thực hiện sự đồng ý, thời điểm và nội dung được đồng ý, bao gồm:
- Bằng văn bản;
- Bằng cuộc gọi ghi âm;
- Cú pháp đồng ý qua tin nhắn điện thoại;
- Qua thư điện tử, trên trang thông tin điện tử, nền tảng, ứng dụng có thiết lập kỹ thuật xin sự đồng ý;
- Bằng các phương thức khác phù hợp có thể in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được.
(2) Bên kiểm soát dữ liệu, bên kiểm soát và xử lý dữ liệu cá nhân phải lưu trữ sự đồng ý của chủ thể dữ liệu. Trong trường hợp có tranh chấp, trách nhiệm chứng minh sự đồng ý của chủ thể dữ liệu thuộc về bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân.
(3) Bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân không được thiết lập phương thức mặc định đồng ý hoặc tạo ra các chỉ dẫn không rõ ràng, gây hiểu lầm giữa đồng ý và không đồng ý cho chủ thể dữ liệu. Các thiết lập mặc định sẵn có phải đảm bảo nguyên tắc bảo vệ dữ liệu cá nhân, tôn trọng các quyền của chủ thể dữ liệu cá nhân.
(4) Đối với việc xin sự đồng ý xử lý dữ liệu cá nhân nhạy cảm, chủ thể dữ liệu phải được thông báo rằng dữ liệu cần xử lý là dữ liệu cá nhân nhạy cảm.
(Điều 6 Luật Bảo vệ dữ liệu cá nhân 2025)
9
(028) 3930 3279
Hỗ trợ trực tuyến
0906 22 99 66
