Bảo vệ dữ liệu cá nhân trong hoạt động nghiên cứu khoa học, thống kê

Bảo vệ dữ liệu cá nhân trong hoạt động nghiên cứu khoa học, thống kê đòi hỏi sự cân bằng tinh tế giữa thúc đẩy tri thức và tôn trọng quyền riêng tư, với các quy định pháp lý chuyên biệt. Để đảm bảo tuân thủ và khai thác dữ liệu hiệu quả, các tổ chức cần một giải pháp toàn diện, và DPO.VN cung cấp hướng dẫn chi tiết giúp bạn thực hiện đúng quy định. an toàn dữ liệu, quy định pháp lý, xử lý thông tin cá nhân.

Tại sao việc bảo vệ dữ liệu cá nhân trong nghiên cứu khoa học và thống kê lại có những quy định đặc thù?

Các quy định đặc thù tồn tại để cân bằng giữa lợi ích chung từ việc thúc đẩy tri thức khoa học và nghĩa vụ bảo vệ quyền riêng tư của cá nhân, cho phép xử lý dữ liệu trong một số trường hợp nhất định mà không cần sự đồng ý, nhưng đi kèm các điều kiện bảo vệ nghiêm ngặt.

Hoạt động nghiên cứu khoa học và thống kê có vai trò thiết yếu đối với sự phát triển kinh tế – xã hội và hoạch định chính sách quốc gia. Các hoạt động này thường đòi hỏi xử lý khối lượng lớn dữ liệu cá nhân, bao gồm cả dữ liệu cá nhân nhạy cảm như thông tin về sức khỏe, di truyền, hoặc quan điểm xã hội. Nhận thức được tầm quan trọng này, pháp luật Việt Nam, cụ thể là Nghị định 13/2023/NĐ-CP và sắp tới là Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15, đã xây dựng một hành lang pháp lý riêng. Mục tiêu là tạo điều kiện cho các nhà khoa học, cơ quan thống kê có thể thực hiện nhiệm vụ vì lợi ích công cộng, đồng thời vẫn đảm bảo quyền và lợi ích hợp pháp của chủ thể dữ liệu không bị xâm phạm. Các quy định này thường tập trung vào các biện pháp thay thế cho sự đồng ý, như khử nhận dạng và mã hóa, cùng với việc giới hạn một số quyền của chủ thể dữ liệu để bảo toàn tính toàn vẹn của công trình nghiên cứu.

Khi nào hoạt động nghiên cứu khoa học, thống kê được xử lý dữ liệu cá nhân mà không cần sự đồng ý của chủ thể dữ liệu?

Theo khoản 2 Điều 16 Nghị định 13/2023/NĐ-CP, việc xử lý dữ liệu cá nhân phục vụ nghiên cứu khoa học hoặc thống kê được phép thực hiện mà không cần sự đồng ý của chủ thể dữ liệu, nhưng phải đáp ứng các điều kiện bảo vệ nghiêm ngặt và không áp dụng cho mục đích thương mại.

Đây là điểm miễn trừ quan trọng nhất mà các tổ chức nghiên cứu và thống kê cần nắm vững. Việc xử lý dữ liệu cá nhân mà không cần sự đồng ý của chủ thể dữ liệu là một đặc quyền, nhưng đi kèm với đó là trách nhiệm lớn. Cả Nghị định 13/2023/NĐ-CP và Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 đều đặt ra các điều kiện chặt chẽ để áp dụng quy định này.

Các điều kiện pháp lý để áp dụng miễn trừ sự đồng ý là gì?

Các điều kiện chính bao gồm việc dữ liệu phải được khử nhận dạng hoặc mã hóa, áp dụng các biện pháp bảo mật, có cam kết bảo vệ dữ liệu, và phục vụ lợi ích xã hội, cộng đồng, phù hợp với quy định pháp luật chuyên ngành.

Để được miễn trừ yêu cầu về sự đồng ý, các tổ chức nghiên cứu, thống kê phải đảm bảo tuân thủ đồng thời nhiều điều kiện. Luật sư Nguyễn Tiến Hảo, chuyên gia tư vấn của DPO.VN, chia sẻ: “Việc miễn trừ không phải là một giấy phép tự do. Các tổ chức phải chứng minh được rằng họ đã triển khai các biện pháp bảo vệ tương xứng để giảm thiểu rủi ro cho chủ thể dữ liệu. Đây là cốt lõi của nguyên tắc trách nhiệm giải trình.” Cụ thể, các điều kiện bao gồm:

• Mục đích phi thương mại: Dữ liệu chỉ được sử dụng cho mục đích nghiên cứu khoa học hoặc thống kê, không nhằm mục đích kinh doanh, thương mại.
• Các biện pháp bảo vệ kỹ thuật: Dữ liệu cá nhân phải được khử nhận dạng (anonymization) hoặc bút danh hóa (pseudonymization) ngay khi có thể. Đây là yêu cầu cơ bản để giảm thiểu rủi ro. Các biện pháp mã hóa cũng cần được áp dụng.
• Biện pháp quản lý: Phải có chính sách nội bộ rõ ràng về quản lý, truy cập và bảo mật dữ liệu. Cần thiết lập quy trình kiểm soát chặt chẽ những ai được phép truy cập vào dữ liệu gốc.
• Cam kết bảo mật: Các nhà nghiên cứu và nhân sự liên quan phải ký cam kết bảo mật thông tin.
• Công bố kết quả ẩn danh: Kết quả nghiên cứu khi công bố không được chứa thông tin có khả năng nhận dạng một cá nhân cụ thể, trừ khi có sự đồng ý riêng của họ.

Làm thế nào để khử nhận dạng và mã hóa dữ liệu nghiên cứu đúng chuẩn pháp luật?

Khử nhận dạng đúng chuẩn là quá trình thay đổi hoặc xóa thông tin để dữ liệu mới không thể xác định được một con người cụ thể. Mã hóa là chuyển dữ liệu sang dạng không thể đọc được nếu không có khóa giải mã. Cả hai đều phải tuân thủ quy định tại Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15.

Khử nhận dạng và mã hóa là hai công cụ kỹ thuật pháp lý quan trọng nhất để bảo vệ dữ liệu trong nghiên cứu. Việc thực hiện đúng cách sẽ giúp tổ chức đáp ứng yêu cầu pháp luật và giảm đáng kể rủi ro.

Thế nào là khử nhận dạng dữ liệu đúng chuẩn theo luật?

Một quy trình khử nhận dạng đúng chuẩn phải đảm bảo không thể tái nhận dạng dữ liệu một cách hợp lý và phải được kiểm soát chặt chẽ, ngăn chặn truy cập trái phép vào dữ liệu gốc trong quá trình thực hiện.

Điều 2 và Điều 14 của Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 định nghĩa khử nhận dạng dữ liệu cá nhân là quá trình tạo ra dữ liệu mới không thể xác định hoặc giúp xác định được một con người cụ thể. Quan trọng là, dữ liệu sau khi khử nhận dạng sẽ không còn được coi là dữ liệu cá nhân. Các kỹ thuật phổ biến bao gồm:

• Loại bỏ định danh trực tiếp: Xóa các thông tin như họ tên, số định danh cá nhân, số điện thoại, địa chỉ email.
• Bút danh hóa (Pseudonymization): Thay thế các định danh trực tiếp bằng một mã giả (ví dụ: “Bệnh nhân A” thay cho “Nguyễn Văn An”). Mặc dù an toàn hơn, dữ liệu bút danh hóa vẫn có thể được coi là dữ liệu cá nhân nếu có thể tái nhận dạng bằng cách kết hợp với thông tin khác.
• Tổng quát hóa: Giảm độ chi tiết của dữ liệu. Ví dụ, thay vì ghi tuổi chính xác là “34”, sẽ ghi là “30-35”. Thay vì ghi địa chỉ cụ thể, sẽ ghi “Quận Cầu Giấy”.
• Nhiễu hóa (Noise addition): Thêm các thay đổi ngẫu nhiên nhỏ vào dữ liệu để bảo vệ danh tính mà không làm ảnh hưởng lớn đến kết quả phân tích thống kê tổng thể.

DPO.VN nhấn mạnh rằng tổ chức thực hiện khử nhận dạng phải kiểm soát chặt chẽ quá trình và ngăn chặn hành vi tái nhận dạng trái phép.

Các biện pháp kỹ thuật nào được khuyến nghị để bảo vệ dữ liệu?

Ngoài khử nhận dạng, các biện pháp kỹ thuật được khuyến nghị bao gồm mã hóa dữ liệu cả khi lưu trữ và khi truyền đi (encryption at rest and in transit), kiểm soát truy cập dựa trên vai trò (RBAC), và ghi nhật ký hệ thống để giám sát hoạt động.

Mã hóa dữ liệu là biện pháp bắt buộc đối với dữ liệu cá nhân là bí mật nhà nước (Điều 12 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15) và là một trong những biện pháp bảo vệ dữ liệu cá nhân hiệu quả nhất. Các tổ chức nghiên cứu cần triển khai:

Được phép công bố và chia sẻ những thông tin gì trong kết quả nghiên cứu?

Chỉ được công bố, chia sẻ các kết quả ở dạng tổng hợp, thống kê, hoặc đã được khử nhận dạng hoàn toàn để không thể truy ngược lại danh tính của bất kỳ cá nhân nào. Mọi trường hợp công bố dữ liệu có khả năng nhận dạng đều cần sự đồng ý rõ ràng và riêng biệt của chủ thể dữ liệu.

Mục đích cuối cùng của nghiên cứu là phổ biến tri thức, nhưng quá trình này phải tuân thủ nghiêm ngặt các quy tắc bảo vệ dữ liệu.

• Công bố kết quả tổng hợp: Thay vì công bố dữ liệu thô của từng cá nhân, hãy công bố các kết quả phân tích ở dạng tổng hợp. Ví dụ: “55% người tham gia trong nhóm tuổi X có triệu chứng Y” thay vì liệt kê từng trường hợp.
• Tránh các định danh gián tiếp: Cần cẩn trọng với việc kết hợp nhiều thông tin tưởng chừng vô hại nhưng lại có thể dẫn đến việc nhận dạng một người. Ví dụ, công bố thông tin về “một nữ giáo sư 45 tuổi, chuyên ngành vật lý lượng tử, làm việc tại một trường đại học ở Hà Nội” có thể dễ dàng xác định được danh tính.
• Chia sẻ bộ dữ liệu cho cộng đồng khoa học: Nếu muốn chia sẻ bộ dữ liệu cho các nhà nghiên cứu khác, bộ dữ liệu đó phải được khử nhận dạng một cách triệt để. Hơn nữa, cần có một thỏa thuận sử dụng dữ liệu (Data Use Agreement) ràng buộc bên nhận chỉ sử dụng dữ liệu cho mục đích nghiên cứu và không được cố gắng tái nhận dạng.

Quyền của chủ thể dữ liệu bị hạn chế như thế nào trong bối cảnh nghiên cứu khoa học?

Theo khoản 2 Điều 16 Nghị định 13/2023/NĐ-CP, quyền yêu cầu xóa dữ liệu của chủ thể dữ liệu sẽ không được áp dụng đối với dữ liệu cá nhân được xử lý nhằm mục đích nghiên cứu khoa học, thống kê theo quy định của pháp luật, nhằm đảm bảo tính toàn vẹn và giá trị của công trình nghiên cứu.

Đây là một điểm khác biệt quan trọng so với xử lý dữ liệu cho mục đích thương mại. Việc cho phép người tham gia xóa dữ liệu của họ bất kỳ lúc nào có thể làm sai lệch kết quả và phá hỏng toàn bộ công trình nghiên cứu, đặc biệt là các nghiên cứu dài hạn (longitudinal studies).

Nhà nghiên cứu có thể từ chối yêu cầu xóa dữ liệu trong trường hợp nào?

Nhà nghiên cứu có thể từ chối yêu cầu xóa dữ liệu nếu việc xóa đó sẽ làm cho việc đạt được các mục tiêu của nghiên cứu trở nên bất khả thi hoặc bị ảnh hưởng nghiêm trọng, và dữ liệu đó đang được xử lý tuân thủ các điều kiện bảo vệ khác.

Khi từ chối yêu cầu xóa dữ liệu, tổ chức nghiên cứu phải:

1. Thông báo rõ ràng cho chủ thể dữ liệu: Giải thích lý do từ chối, viện dẫn cơ sở pháp lý (khoản 2(d) Điều 16 Nghị định 13).
2. Cung cấp các quyền khác: Dù không thể xóa, chủ thể dữ liệu vẫn có các quyền khác như quyền truy cập, quyền yêu cầu chỉnh sửa thông tin không chính xác, và quyền yêu cầu hạn chế xử lý.
3. Cam kết bảo vệ: Tái khẳng định các biện pháp bảo vệ đang được áp dụng để đảm bảo dữ liệu của họ an toàn.

Việc tuân thủ các quy định về bảo vệ dữ liệu cá nhân trong hoạt động nghiên cứu khoa học, thống kê không chỉ là nghĩa vụ pháp lý mà còn là nền tảng của đạo đức nghiên cứu. Bằng cách áp dụng các biện pháp bảo vệ mạnh mẽ, các tổ chức có thể vừa đóng góp cho sự tiến bộ của tri thức, vừa xây dựng và duy trì niềm tin của cộng đồng.

Các Câu Hỏi Thường Gặp Về Bảo Vệ Dữ Liệu Trong Nghiên Cứu

Tài liệu tham khảo

• Chính phủ (2023), Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân.
• Quốc hội (2025), Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15.
• Bộ Khoa học và Công nghệ (2021), Thông tư 11/2021/TT-BKHCN quy định về quản lý đề tài, dự án khoa học và công nghệ.
• European Commission, GDPR – Rules for business and organisations.
• Tổng cục Thống kê, Luật Thống kê 2015.