Quy định về bảo vệ dữ liệu sinh trắc học theo luật mới

Quy định về bảo vệ dữ liệu sinh trắc học theo luật mới yêu cầu doanh nghiệp phải áp dụng các biện pháp bảo mật nghiêm ngặt để bảo vệ thông tin nhận dạng duy nhất của cá nhân. Để đảm bảo tuân thủ và tránh rủi ro pháp lý, hãy cùng DPO.VN tìm hiểu giải pháp toàn diện giúp doanh nghiệp của bạn an toàn. Nắm vững các quy tắc bảo mật thông tin sinh trắc học và chính sách bảo vệ dữ liệu nhận dạng là vô cùng cần thiết.

Dữ liệu sinh trắc học là gì và tại sao việc bảo vệ nó lại quan trọng theo pháp luật Việt Nam?

Dữ liệu sinh trắc học là dữ liệu về thuộc tính vật lý, đặc điểm sinh học cá biệt và ổn định của một người để xác định người đó. Do tính chất độc nhất, không thể thay đổi, việc bảo vệ dữ liệu này là tối quan trọng để ngăn chặn các hành vi mạo danh, lừa đảo và bảo vệ quyền riêng tư tuyệt đối của cá nhân.

Pháp luật Việt Nam, cụ thể là Luật Bảo vệ dữ liệu cá nhân (sẽ có hiệu lực từ ngày 01/01/2026), đã định nghĩa rất rõ về loại dữ liệu đặc thù này. Theo khoản 2, Điều 31, dữ liệu sinh trắc học bao gồm các thuộc tính vật lý và đặc điểm sinh học riêng, ổn định của một cá nhân dùng để nhận dạng. Các loại dữ liệu này bao gồm nhưng không giới hạn ở vân tay, mống mắt, giọng nói, và nhận dạng khuôn mặt.

Khác với mật khẩu hay mã PIN có thể thay đổi, dữ liệu sinh trắc học gắn liền vĩnh viễn với một cá nhân. Nếu bị rò rỉ, hậu quả sẽ vô cùng nghiêm trọng, có thể dẫn đến việc mạo danh danh tính vĩnh viễn. Do đó, Luật Bảo vệ dữ liệu cá nhân đã xếp dữ liệu sinh trắc học vào nhóm dữ liệu cá nhân nhạy cảm, đòi hỏi các biện pháp bảo vệ ở mức độ cao nhất. Việc áp dụng các quy tắc bảo mật thông tin sinh trắc học không chỉ là nghĩa vụ pháp lý mà còn là nền tảng xây dựng niềm tin với khách hàng và đối tác.

Doanh nghiệp được phép thu thập dữ liệu sinh trắc học trong những trường hợp nào và cần đáp ứng điều kiện gì?

Doanh nghiệp chỉ được thu thập dữ liệu sinh trắc học khi có mục đích sử dụng hợp pháp, minh bạch và phải nhận được sự đồng ý rõ ràng, tự nguyện từ chủ thể dữ liệu. Các mục đích phổ biến bao gồm chấm công, định danh khách hàng điện tử (eKYC), hoặc mở khóa thiết bị.

Nguyên tắc cốt lõi trong việc thu thập dữ liệu sinh trắc học là phải có cơ sở pháp lý rõ ràng. Điều 9 của Luật Bảo vệ dữ liệu cá nhân quy định sự đồng ý của chủ thể dữ liệu là điều kiện tiên quyết. Sự đồng ý này phải đáp ứng các tiêu chí sau:

• Tự nguyện: Chủ thể dữ liệu phải được tự do lựa chọn, không bị ép buộc hay phụ thuộc vào việc cung cấp dịch vụ.
• Biết rõ thông tin: Trước khi đồng ý, chủ thể dữ liệu phải được thông báo đầy đủ về:
  • Loại dữ liệu sinh trắc học được xử lý (vân tay, khuôn mặt, v.v.).
  • Mục đích xử lý cụ thể, rõ ràng.
  • Thông tin về bên kiểm soát và xử lý dữ liệu.
  • Các quyền và nghĩa vụ của họ.
• Thể hiện rõ ràng: Sự đồng ý phải được thể hiện bằng một hành động cụ thể, có thể kiểm chứng được, chẳng hạn như đánh dấu vào ô đồng ý, ký tên vào văn bản, hoặc thông qua các thiết lập kỹ thuật. Sự im lặng không được coi là đồng ý.

💡 DPO.VN chia sẻ: Một sai lầm phổ biến là gộp chung sự đồng ý xử lý dữ liệu sinh trắc học vào điều khoản và điều kiện chung của dịch vụ. Luật pháp yêu cầu sự đồng ý phải được thể hiện đối với từng mục đích cụ thể. Ví dụ, nếu thu thập vân tay để chấm công, doanh nghiệp không được tự ý sử dụng dữ liệu đó để xác thực truy cập vào các hệ thống khác nếu chưa có sự đồng ý riêng cho mục đích này.

Các biện pháp bảo mật kỹ thuật và vật lý bắt buộc để bảo vệ dữ liệu sinh trắc học là gì?

Luật yêu cầu doanh nghiệp phải áp dụng các biện pháp bảo mật vật lý cho thiết bị lưu trữ, hạn chế và giám sát chặt chẽ quyền truy cập, đồng thời tuân thủ các quy định và tiêu chuẩn kỹ thuật liên quan để đảm bảo an ninh dữ liệu sinh trắc học.

Điều 31, khoản 4 của Luật Bảo vệ dữ liệu cá nhân đặt ra những yêu cầu rất cụ thể và nghiêm ngặt đối với việc bảo vệ dữ liệu sinh trắc học. Doanh nghiệp phải triển khai đồng bộ các giải pháp để đảm bảo an toàn tối đa.

Doanh nghiệp phải làm gì khi xảy ra sự cố rò rỉ dữ liệu sinh trắc học?

Khi xảy ra sự cố gây thiệt hại, doanh nghiệp phải thông báo cho chủ thể dữ liệu bị ảnh hưởng và báo cáo cho cơ quan chuyên trách bảo vệ dữ liệu cá nhân (Cục A05 – Bộ Công an) chậm nhất 72 giờ kể từ khi phát hiện vi phạm.

Nghĩa vụ ứng phó với sự cố vi phạm dữ liệu sinh trắc học là một trong những yêu cầu nghiêm ngặt nhất. Do mức độ rủi ro cao, pháp luật yêu cầu doanh nghiệp phải hành động nhanh chóng và minh bạch.

1. Thông báo cho chủ thể dữ liệu (Điều 31.4.b Luật Bảo vệ dữ liệu cá nhân): Khi việc xử lý dữ liệu sinh trắc học gây thiệt hại, tổ chức, cá nhân thu thập phải có nghĩa vụ thông báo cho chủ thể dữ liệu đó. Chính phủ sẽ quy định chi tiết về nội dung và hình thức thông báo, nhưng về cơ bản, thông báo cần mô tả rõ bản chất của vụ việc, loại dữ liệu bị ảnh hưởng, các rủi ro tiềm tàng và các bước mà chủ thể dữ liệu nên thực hiện để tự bảo vệ.

2. Thông báo cho cơ quan chức năng (Điều 23 Nghị định 13/2023/NĐ-CP): Đây là nghĩa vụ bắt buộc.

• Thời hạn: Chậm nhất là 72 giờ sau khi phát hiện hành vi vi phạm.
• Cơ quan tiếp nhận: Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05), Bộ Công an.
• Nội dung thông báo: Doanh nghiệp phải sử dụng Mẫu số 03a (dành cho tổ chức) hoặc Mẫu số 03b (dành cho cá nhân) để thông báo. Nội dung chính bao gồm:
  • Mô tả tính chất của vụ vi phạm (thời gian, địa điểm, hành vi).
  • Loại dữ liệu sinh trắc học và số lượng chủ thể bị ảnh hưởng.
  • Hậu quả, thiệt hại có thể xảy ra.
  • Các biện pháp đã và đang được triển khai để giải quyết và giảm thiểu tác hại.

💡 Theo kinh nghiệm của DPO.VN, việc chuẩn bị sẵn một kế hoạch ứng phó sự cố (Incident Response Plan) sẽ giúp doanh nghiệp phản ứng nhanh chóng, chuyên nghiệp, giảm thiểu thiệt hại và thể hiện trách nhiệm, từ đó bảo vệ uy tín của mình trước công chúng và cơ quan quản lý.

Trách nhiệm của doanh nghiệp khi chuyển giao dữ liệu sinh trắc học cho bên thứ ba là gì?

Doanh nghiệp phải ký kết hợp đồng hoặc thỏa thuận xử lý dữ liệu với bên thứ ba, trong đó quy định rõ ràng trách nhiệm bảo mật. Doanh nghiệp (Bên Kiểm soát dữ liệu) vẫn phải chịu trách nhiệm cuối cùng trước chủ thể dữ liệu về mọi thiệt hại xảy ra.

Nhiều doanh nghiệp hiện nay sử dụng các dịch vụ của bên thứ ba, như phần mềm chấm công đám mây hoặc các nền tảng eKYC. Việc chuyển giao dữ liệu sinh trắc học cho các đối tác này phải được quản lý hết sức chặt chẽ.

1. Hợp đồng xử lý dữ liệu: Theo Điều 37 và Điều 39 Nghị định 13/2023/NĐ-CP, Bên Kiểm soát dữ liệu cá nhân phải có hợp đồng hoặc thỏa thuận với Bên Xử lý dữ liệu. Hợp đồng này phải:

• Nêu rõ mục đích và phạm vi xử lý dữ liệu.
• Yêu cầu bên thứ ba phải thực hiện đầy đủ các biện pháp bảo vệ dữ liệu cá nhân theo quy định của pháp luật.
• Quy định rõ trách nhiệm của mỗi bên trong trường hợp xảy ra sự cố.
• Yêu cầu bên thứ ba phải xóa hoặc trả lại toàn bộ dữ liệu sau khi kết thúc hợp đồng.

2. Trách nhiệm giải trình: Dù đã chuyển giao cho bên thứ ba, trách nhiệm của Bên Kiểm soát dữ liệu cá nhân vẫn không thay đổi. Khoản 6, Điều 38 Nghị định 13 quy định rõ: Bên Kiểm soát dữ liệu cá nhân chịu trách nhiệm trước chủ thể dữ liệu về các thiệt hại do quá trình xử lý dữ liệu cá nhân gây ra. Điều này có nghĩa là nếu đối tác của bạn làm rò rỉ dữ liệu sinh trắc học, doanh nghiệp của bạn vẫn phải chịu trách nhiệm pháp lý.

Do đó, việc lựa chọn đối tác uy tín, có năng lực bảo mật tốt và thực hiện thẩm định (due diligence) kỹ lưỡng trước khi ký kết hợp đồng là vô cùng quan trọng để giảm thiểu rủi ro cho doanh nghiệp.

Các Câu Hỏi Thường Gặp Về Quy Định Bảo Vệ Dữ Liệu Sinh Trắc Học

Tài liệu tham khảo

• Nghị định 13/2023/NĐ-CP của Chính phủ về bảo vệ dữ liệu cá nhân.
• Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15
• Tổng quan về GDPR – Quy định chung về bảo vệ dữ liệu của Liên minh Châu Âu.