Chuyển Giao Và Mua Bán Dữ Liệu Cá Nhân Có Cần Khử Nhận Dạng Không?

Chuyển giao và mua bán dữ liệu cá nhân có cần khử nhận dạng không là câu hỏi cốt lõi quyết định tính hợp pháp trong mọi giao dịch dữ liệu hiện nay. Theo quy định mới nhất, khử nhận dạng là điều kiện tiên quyết để biến dữ liệu thành tài sản có thể trao đổi an toàn, và DPO.VN sẽ hướng dẫn bạn quy trình này một cách chuẩn xác nhất để đảm bảo tuân thủ pháp luật và tối ưu hóa giá trị dữ liệu.

Khử nhận dạng có phải là điều kiện bắt buộc để giao dịch dữ liệu cá nhân không?

Có, đối với hoạt động giao dịch trên sàn dữ liệu, pháp luật quy định bắt buộc phải khử nhận dạng. Đối với các hình thức chuyển giao khác, khử nhận dạng là biện pháp bảo vệ tối ưu để giảm thiểu rủi ro và tuân thủ nguyên tắc bảo mật.

Trong bối cảnh nền kinh tế số, dữ liệu được ví như “dầu mỏ mới”. Tuy nhiên, khác với hàng hóa thông thường, dữ liệu cá nhân gắn liền với quyền riêng tư và nhân thân của con người. Do đó, pháp luật đặt ra những rào cản kỹ thuật nghiêm ngặt để bảo vệ chủ thể dữ liệu khi dữ liệu này đi vào lưu thông.

Theo Điều 7 Nghị định 356/2025/NĐ-CP hướng dẫn Luật Bảo vệ dữ liệu cá nhân 91/2025/NĐ-CP, một nguyên tắc quan trọng đã được thiết lập: “Dữ liệu cá nhân phải được khử nhận dạng trước khi giao dịch trên sàn dữ liệu.” Quy định này nhằm đảm bảo rằng khi dữ liệu trở thành hàng hóa được trao đổi công khai hoặc thương mại hóa trên các nền tảng giao dịch, danh tính của các cá nhân cụ thể đã được loại bỏ, ngăn chặn nguy cơ xâm phạm quyền riêng tư ở quy mô lớn.

Khử nhận dạng (De-identification) là quá trình kỹ thuật làm ẩn hoặc xóa bỏ các thông tin định danh, khiến cho dữ liệu không thể hoặc khó có thể dùng để xác định một cá nhân cụ thể mà không có thêm thông tin bổ sung. Đây là “chìa khóa vàng” để mở ra cánh cửa hợp pháp cho thị trường dữ liệu.

Sự khác biệt về yêu cầu khử nhận dạng giữa Chuyển giao và Mua bán là gì?

“Mua bán” dữ liệu cá nhân dưới dạng thô (có thể nhận dạng) bị nghiêm cấm, trừ trường hợp luật định khác. Ngược lại, “chuyển giao” là hoạt động được phép nếu có sự đồng ý của chủ thể và tuân thủ quy định, trong đó khử nhận dạng là biện pháp được khuyến khích nhưng không phải lúc nào cũng bắt buộc tuyệt đối như giao dịch sàn.

Quy định đối với hành vi Mua bán dữ liệu

Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 (Điều 7) quy định rõ hành vi mua, bán dữ liệu cá nhân là bị nghiêm cấm, trừ trường hợp luật có quy định khác. Điều này có nghĩa là việc trao đổi dữ liệu cá nhân “sống” (raw data) để kiếm lợi nhuận trực tiếp là bất hợp pháp.

Tuy nhiên, pháp luật mở ra một hướng đi hợp pháp: Giao dịch trên sàn dữ liệu. Để tham gia vào thị trường này, điều kiện tiên quyết theo Nghị định 356/2025/NĐ-CP là dữ liệu phải được khử nhận dạng. Lúc này, đối tượng giao dịch không còn là “dữ liệu cá nhân” theo nghĩa gốc mà là các tập dữ liệu đã được xử lý kỹ thuật, phục vụ cho mục đích phân tích, thống kê, nghiên cứu thị trường mà không xâm phạm đời tư cá nhân.

Quy định đối với hoạt động Chuyển giao dữ liệu

“Chuyển giao” (Transfer) là khái niệm rộng hơn, bao gồm việc chia sẻ dữ liệu giữa Bên kiểm soát và Bên xử lý, hoặc giữa các đối tác kinh doanh để thực hiện một mục đích cụ thể (như giao hàng, thanh toán, trả lương).

Theo Điều 17 Luật 91/2025/QH15 và Điều 7 Nghị định 356/2025/NĐ-CP, việc chuyển giao được phép thực hiện khi:

• Có sự đồng ý của chủ thể dữ liệu.
• Có văn bản thỏa thuận/hợp đồng rõ ràng về trách nhiệm bảo vệ dữ liệu.
• Đặc biệt, nếu chuyển giao dữ liệu cá nhân nhạy cảm, pháp luật yêu cầu bắt buộc phải có biện pháp mã hóa, ẩn danh hóa (khử nhận dạng) trong quá trình chuyển giao để đảm bảo an toàn (Điều 7.2 Nghị định 356/2025/NĐ-CP).

💡 DPO.VN lưu ý: Một điểm rất quan trọng tại Điều 7.3 Nghị định 356/2025/NĐ-CP là trường hợp chuyển giao dữ liệu cá nhân có thu phí để cung cấp dịch vụ cho chủ thể dữ liệu. Trường hợp này không được xem là “mua bán” trái phép, nhưng phải tuân thủ nghiêm ngặt các điều kiện về sự đồng ý minh bạch và giới hạn mục đích.

Tiêu chuẩn và quy trình khử nhận dạng như thế nào là đúng luật?

Quy trình khử nhận dạng phải đảm bảo dữ liệu không thể khôi phục lại danh tính cá nhân hoặc chỉ có thể khôi phục với mã khóa riêng biệt được bảo mật nghiêm ngặt. Các kỹ thuật phổ biến bao gồm mã hóa, làm mờ, thay thế và tổng hợp dữ liệu.

Để việc khử nhận dạng được pháp luật công nhận và giảm thiểu rủi ro, doanh nghiệp cần áp dụng các tiêu chuẩn kỹ thuật cao. Dưới đây là các phương pháp và yêu cầu cụ thể:

Các kỹ thuật khử nhận dạng (De-identification Techniques)

Quy trình kiểm soát khử nhận dạng

Điều 14.6 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 đặt ra yêu cầu nghiêm ngặt:

• Kiểm soát chặt chẽ: Cơ quan, tổ chức phải giám sát quá trình khử nhận dạng để ngăn chặn việc truy cập trái phép, sao chép dữ liệu gốc trong quá trình xử lý.
• Cấm tái nhận dạng trái phép: Không được phép cố ý tái nhận dạng (khôi phục lại danh tính) dữ liệu cá nhân sau khi đã được khử nhận dạng, trừ trường hợp pháp luật quy định khác.
• Biện pháp bảo mật bổ sung: Đối với công nghệ chuỗi khối (Blockchain) hay dữ liệu lớn (Big Data), Điều 9 và Điều 11 Nghị định /2025/NĐ-CP (Dự Thảo) yêu cầu chỉ lưu trữ dữ liệu đã khử nhận dạng hoặc giá trị băm (hash), không lưu trực tiếp dữ liệu thô.

Có trường hợp ngoại lệ nào không cần khử nhận dạng khi chuyển giao không?

Có, một số trường hợp đặc biệt như thực hiện nghĩa vụ theo hợp đồng, tình huống khẩn cấp bảo vệ tính mạng, hoặc yêu cầu của cơ quan nhà nước có thẩm quyền cho phép chuyển giao dữ liệu đầy đủ mà không cần khử nhận dạng.

Mặc dù khử nhận dạng là biện pháp bảo vệ tốt nhất, nhưng trong thực tế vận hành, đôi khi việc chuyển giao dữ liệu nguyên vẹn là cần thiết để thực hiện giao dịch hoặc dịch vụ. Các trường hợp ngoại lệ điển hình bao gồm:

• Thực hiện hợp đồng: Khi bạn đặt hàng online, đơn vị bán hàng phải chuyển giao tên, địa chỉ, số điện thoại (dữ liệu thô) cho đơn vị vận chuyển để giao hàng. Trường hợp này không cần khử nhận dạng vì mục đích chuyển giao đòi hỏi thông tin chính xác. (Điểm d khoản 1 Điều 17 Luật 91/2025/QH15).
• Tình huống khẩn cấp: Chuyển giao dữ liệu y tế, nhóm máu, tình trạng sức khỏe cho bệnh viện để cấp cứu nạn nhân đang nguy kịch. Việc khử nhận dạng ở đây sẽ làm chậm trễ và gây nguy hiểm đến tính mạng. (Điều 19 Luật 91/2025/QH15).
• Yêu cầu của cơ quan nhà nước: Cung cấp dữ liệu cho cơ quan thuế, công an để phục vụ điều tra, quản lý nhà nước.

Tuy nhiên, ngay cả trong các trường hợp này, doanh nghiệp vẫn phải tuân thủ nguyên tắc “Tối thiểu hóa dữ liệu” – chỉ chuyển giao những thông tin thực sự cần thiết cho mục đích đó, và áp dụng các biện pháp bảo mật (như mã hóa đường truyền) để bảo vệ dữ liệu trên đường đi.

Rủi ro và chế tài xử phạt nếu vi phạm quy định chuyển giao, mua bán dữ liệu là gì?

Vi phạm quy định về mua bán, chuyển giao dữ liệu có thể dẫn đến mức phạt tiền cực lớn lên đến 5% doanh thu hoặc gấp 10 lần khoản thu bất chính, cùng với nguy cơ truy cứu trách nhiệm hình sự.

Hệ thống pháp luật mới của Việt Nam đã thiết lập các chế tài răn đe rất mạnh mẽ đối với hành vi kinh doanh trái phép dữ liệu cá nhân:

• Phạt tiền nặng: Theo Điều 8 Luật Bảo vệ dữ liệu cá nhân, hành vi mua bán dữ liệu cá nhân trái phép có thể bị phạt tiền tối đa gấp 10 lần khoản thu có được từ hành vi vi phạm. Đối với tổ chức vi phạm quy định chuyển dữ liệu xuyên biên giới, mức phạt có thể lên tới 5% tổng doanh thu của năm tài chính liền kề trước đó.
• Trách nhiệm hình sự: Các hành vi thu thập, mua bán, công khai hóa trái phép thông tin về mạng máy tính, mạng viễn thông có thể bị xử lý theo Bộ luật Hình sự.
• Tổn hại uy tín: Việc bị công bố vi phạm sẽ làm mất lòng tin của khách hàng và đối tác, gây thiệt hại lâu dài cho thương hiệu.

Vì vậy, đầu tư vào giải pháp khử nhận dạng và tuân thủ quy trình chuyển giao dữ liệu không chỉ là nghĩa vụ pháp lý mà còn là chiến lược bảo vệ sự tồn vong của doanh nghiệp.

Các Câu Hỏi Thường Gặp Về Khử Nhận Dạng Khi Chuyển Giao Dữ Liệu

Tài liệu tham khảo

• Quốc hội (2025), Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15. Cổng Thông tin điện tử Quốc hội.
• Chính phủ (2025), Nghị định 356/2025/NĐ-CP quy định chi tiết một số điều và biện pháp thi hành Luật Bảo vệ dữ liệu cá nhân.
• Chính phủ (2023), Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân. Thư viện Pháp luật.
• Bộ Công an, Cổng dịch vụ công Bộ Công an – Thủ tục hành chính lĩnh vực An ninh mạng.
• NIST (National Institute of Standards and Technology), De-Identification of Personal Information (NISTIR 8053).