⚠️ HƯỚNG DẪN TUÂN THỦ
Bảo Vệ Dữ Liệu Việt Nam
Hướng Dẫn Tuân Thủ 2026
Tất cả những gì bạn cần biết về BVDLCN (Nghị định 13/2023) và Luật An ninh mạng
⚠️ THÔNG TIN QUAN TRỌNG
Nghị định Bảo vệ Dữ liệu Cá nhân (BVDLCN) đã có hiệu lực từ ngày 1 tháng 7, 2023. Doanh nghiệp phải có sự đồng ý rõ ràng, triển khai biện pháp bảo mật, và có thể đối mặt hình phạt lên đến 5% doanh thu hàng năm cho vi phạm nghiêm trọng.
Luật này áp dụng cho TẤT CẢ doanh nghiệp xử lý dữ liệu của công dân Việt Nam, bất kể doanh nghiệp đặt ở đâu.
📑 Mục Lục
1. Tổng Quan Luật Bảo Vệ Dữ Liệu Việt Nam
Khung bảo vệ dữ liệu của Việt Nam bao gồm hai văn bản pháp luật chính:
Nghị Định Bảo Vệ Dữ Liệu Cá Nhân (BVDLCN) - Nghị Định 13/2023/NĐ-CP
Effective July 1, 2023, đây là luật bảo vệ dữ liệu cá nhân toàn diện đầu tiên của Việt Nam. Luật thiết lập:
- Quyền của cá nhân (chủ thể dữ liệu) đối với dữ liệu cá nhân của họ
- Nghĩa vụ của doanh nghiệp xử lý dữ liệu cá nhân
- Yêu cầu đồng ý và cơ sở pháp lý cho xử lý
- Quy tắc chuyển dữ liệu xuyên biên giới
- Hình phạt cho vi phạm
Luật An Ninh Mạng - Luật 24/2018/QH14
Effective January 1, 2019, luật này tập trung vào:
- Yêu cầu lưu trữ dữ liệu tại chỗ cho một số doanh nghiệp
- Biện pháp an ninh mạng và phản ứng sự cố
- Chính phủ truy cập dữ liệu vì mục đích an ninh
⚠️ Ai Phải Tuân Thủ?
BẤT KỲ doanh nghiệp nào thu thập, lưu trữ, hoặc xử lý dữ liệu cá nhân của công dân Việt Nam, bao gồm công ty nước ngoài bán hàng cho khách hàng Việt Nam, tuyển dụng lao động Việt Nam, hoặc hợp tác với doanh nghiệp Việt Nam.
2. Yêu Cầu Tuân Thủ Chính
Yêu Cầu Đồng Ý
Bạn phải có sự đồng ý rõ ràng, được thông báo trước khi thu thập dữ liệu cá nhân:
- Ngôn ngữ rõ ràng: Bằng tiếng Việt, dễ hiểu
- Mục đích cụ thể: Giải thích tại sao bạn cần dữ liệu
- Tự nguyện: Không được gộp với dịch vụ không liên quan
- Có thể rút lại: Người dùng phải có thể thu hồi sự đồng ý dễ dàng
Quyền Chủ Thể Dữ Liệu
Công dân Việt Nam có quyền:
- ✓ Biết bạn giữ dữ liệu gì về họ
- ✓ Truy cập bản sao dữ liệu của họ
- ✓ Sửa thông tin không chính xác
- ✓ Xóa dữ liệu của họ (có ngoại lệ)
- ✓ Hạn chế cách dữ liệu được xử lý
- ✓ Chuyển dữ liệu sang nhà cung cấp khác
- ✓ Phản đối một số loại xử lý nhất định
Dữ Liệu Cá Nhân Nhạy Cảm
Bảo vệ bổ sung áp dụng cho các danh mục "nhạy cảm":
- Thông tin sức khỏe và y tế
- Dữ liệu sinh trắc học (vân tay, nhận dạng khuôn mặt)
- Dữ liệu di truyền
- Quan điểm chính trị/tôn giáo
- Xu hướng tính dục
- Tiền án tiền sự
- Thông tin tài chính/tín dụng
- Dữ liệu vị trí
✅ Bắt Buộc Đánh Giá Tác Động
Xử lý dữ liệu nhạy cảm yêu cầu Đánh Giá Tác Động Bảo Vệ Dữ Liệu (DPIA) và có thể yêu cầu đăng ký với Bộ Công an.
3. Hình Phạt cho Không Tuân Thủ
| Loại Vi Phạm | Hình Phạt (VND) | Hình Phạt (USD) |
|---|---|---|
| Vi phạm nhẹ (chính sách quyền riêng tư không đầy đủ, tài liệu kém) | 20-40 million | ~$800-1,600 |
| Vi phạm trung bình (thu thập dữ liệu không có sự đồng ý đúng) | 40-60 million | ~$1,600-2,400 |
| Vi phạm nghiêm trọng (bán dữ liệu cá nhân, vi phạm lớn) | 60-100 million | ~$2,400-4,000 |
| Vi phạm rất nghiêm trọng (sơ suất nghiêm trọng, tái phạm) | Lên đến 5% doanh thu hàng năm | Varies |
| Vi phạm hình sự (gây hại cố ý, đánh cắp dữ liệu) | Lên đến 7 năm tù | |
4. Yêu Cầu Lưu Trữ Dữ Liệu Tại Chỗ
Theo Luật An ninh mạng, một số doanh nghiệp phải lưu trữ dữ liệu tại Việt Nam:
Ai Phải Lưu Trữ Tại Chỗ?
- Dịch vụ viễn thông hoạt động tại Việt Nam
- Dịch vụ dựa trên Internet (mạng xã hội, thương mại điện tử, game trực tuyến)
- Dịch vụ thu thập, phân tích, hoặc xử lý dữ liệu cá nhân người dùng Việt Nam
Dữ Liệu Nào Phải Được Lưu Trữ Tại Chỗ?
- Dữ liệu cá nhân của người dùng Việt Nam
- Dữ liệu về mối quan hệ người dùng
- Dữ liệu được tạo bởi người dùng tại Việt Nam
⚠️ Chuyển Dữ Liệu Xuyên Biên Giới
Chuyển dữ liệu cá nhân ra ngoài Việt Nam yêu cầu Đánh Giá Tác Động được ghi chép và các biện pháp bảo vệ phù hợp. Chuyển đến các quốc gia không có bảo vệ đầy đủ có thể yêu cầu biện pháp bổ sung hoặc phê duyệt từ chính phủ.
5. Danh Sách Kiểm Tra Tuân Thủ
📋 Các Bước Tuân Thủ Thiết Yếu
6. Câu Hỏi Thường Gặp
BVDLCN có áp dụng cho công ty nước ngoài không?
Có. Nếu bạn xử lý dữ liệu cá nhân của công dân Việt Nam, BVDLCN áp dụng bất kể trụ sở doanh nghiệp ở đâu. Bao gồm trang thương mại điện tử nước ngoài, công ty SaaS, và bất kỳ doanh nghiệp nào có khách hàng hoặc nhân viên Việt Nam.
BVDLCN khác GDPR như thế nào?
Dù tương tự ở nhiều mặt, các khác biệt chính bao gồm: yêu cầu lưu trữ dữ liệu tại chỗ nghiêm ngặt hơn, cấu trúc hình phạt khác nhau, yêu cầu đăng ký cho dữ liệu nhạy cảm, và quy định cụ thể về truy cập dữ liệu của chính phủ. Tuân thủ GDPR là nền tảng tốt nhưng không đảm bảo tuân thủ BVDLCN.
Tôi có thể sử dụng AWS/Azure/GCP cho dữ liệu Việt Nam không?
Có, nhưng có điều kiện. Vùng Singapore thường được sử dụng cho khối lượng công việc phục vụ Việt Nam. Đối với một số loại dữ liệu (chính phủ, hạ tầng quan trọng), lưu trữ tại Việt Nam có thể bắt buộc. Triển khai mã hóa và kiểm soát truy cập cho chuyển xuyên biên giới.
Tôi có cần Nhân viên Bảo vệ Dữ liệu (DPO) không?
BVDLCN không yêu cầu rõ ràng DPO như GDPR. Tuy nhiên, doanh nghiệp xử lý khối lượng lớn dữ liệu cá nhân hoặc dữ liệu nhạy cảm nên chỉ định người chịu trách nhiệm tuân thủ bảo vệ dữ liệu.
Thời gian tuân thủ là bao lâu?
Luật đã có hiệu lực (từ tháng 7/2023). Doanh nghiệp nên tuân thủ ngay bây giờ. Nếu chưa tuân thủ, ưu tiên: cập nhật chính sách quyền riêng tư, cơ chế đồng ý, và biện pháp bảo mật là hành động tức thì.
Cần Hỗ Trợ Tuân Thủ?
Đội ngũ của chúng tôi có thể giúp bạn đánh giá trạng thái tuân thủ hiện tại, triển khai các kiểm soát cần thiết, và xây dựng hạ tầng cloud đáp ứng yêu cầu bảo vệ dữ liệu Việt Nam.
🛡️ Nhận Đánh Giá Tuân Thủ →Hoặc đọc Câu Chuyện Bảo Mật Dữ Liệu →