Tiêu chuẩn bảo vệ dữ liệu cá nhân theo Luật mới 2025

Tiêu chuẩn bảo vệ dữ liệu cá nhân là khuôn khổ pháp lý và kỹ thuật mà mọi doanh nghiệp phải nắm vững để đảm bảo tuân thủ Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15. Đồng hành cùng DPO.VN, doanh nghiệp sẽ có giải pháp toàn diện để áp dụng các quy định bảo mật thông tin và chuẩn mực an toàn dữ liệu một cách hiệu quả.

Tiêu chuẩn bảo vệ dữ liệu cá nhân là gì và tại sao lại quan trọng với doanh nghiệp?

Tiêu chuẩn bảo vệ dữ liệu cá nhân là tập hợp các quy định về kỹ thuật và quản lý được công bố hoặc ban hành tại Việt Nam, giúp doanh nghiệp hệ thống hóa các biện pháp bảo vệ dữ liệu, giảm thiểu rủi ro pháp lý và xây dựng lòng tin với khách hàng.

Trong bối cảnh pháp lý ngày càng siết chặt, việc hiểu rõ tiêu chuẩn bảo vệ dữ liệu cá nhân không còn là lựa chọn mà là yêu cầu bắt buộc. Điều 34 của Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 (có hiệu lực từ 01/01/2026) đã chính thức định hình một hành lang pháp lý cho vấn đề này. Cụ thể, các tiêu chuẩn này được phân thành hai loại chính:

• Tiêu chuẩn (TCVN): Là các quy định được công bố để các tổ chức, cá nhân tự nguyện áp dụng. Việc tuân thủ TCVN là một minh chứng mạnh mẽ cho cam kết bảo vệ dữ liệu của doanh nghiệp.
• Quy chuẩn kỹ thuật (QCVN): Là các quy định bắt buộc phải tuân thủ trong các hoạt động liên quan đến xử lý dữ liệu cá nhân.

Tầm quan trọng của việc áp dụng các chuẩn mực này là rất lớn. Nó không chỉ giúp doanh nghiệp tránh được các khoản phạt nặng nề (lên tới 5% doanh thu) mà còn là yếu tố then chốt để xây dựng uy tín thương hiệu và tạo lợi thế cạnh tranh trong nền kinh tế số. Việc chủ động tuân thủ còn giúp doanh nghiệp chuẩn bị sẵn sàng cho các cuộc kiểm tra từ cơ quan chức năng.

Việt Nam đã ban hành Tiêu chuẩn (TCVN) hay Quy chuẩn (QCVN) chính thức nào về bảo vệ dữ liệu cá nhân chưa?

Hiện tại, Việt Nam chưa ban hành các bộ TCVN hay QCVN cụ thể dành riêng cho bảo vệ dữ liệu cá nhân. Tuy nhiên, Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 đã tạo cơ sở pháp lý để các cơ quan chức năng xây dựng và ban hành các tiêu chuẩn này trong tương lai gần.

Điều 34 của Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 quy định rõ việc ban hành tiêu chuẩn và quy chuẩn kỹ thuật sẽ được thực hiện theo pháp luật về tiêu chuẩn và quy chuẩn kỹ thuật. Điều này cho thấy một lộ trình rõ ràng đang được thiết lập. DPO.VN nhận định rằng, trong thời gian chờ đợi các văn bản hướng dẫn chi tiết, doanh nghiệp cần chủ động xây dựng hệ thống bảo vệ dữ liệu của mình dựa trên các yêu cầu đã được quy định trong Nghị định 13/2023/NĐ-CP và Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15. Đây là bước chuẩn bị cần thiết và khôn ngoan để sẵn sàng đáp ứng các quy chuẩn kỹ thuật bắt buộc khi chúng được ban hành.

Các cơ quan chủ chốt trong quá trình này sẽ là Bộ Công an, với vai trò là cơ quan đầu mối quản lý nhà nước về bảo vệ dữ liệu cá nhân, và Bộ Khoa học và Công nghệ, với vai trò xây dựng hệ thống tiêu chuẩn quốc gia. Doanh nghiệp nên theo dõi các thông báo chính thức từ các cơ quan này để cập nhật kịp thời.

Các yêu cầu kỹ thuật chi tiết theo quy định hiện hành và định hướng của Luật mới là gì?

Doanh nghiệp phải triển khai đồng bộ các biện pháp kỹ thuật bao gồm mã hóa dữ liệu, bảo mật hệ thống thông tin, quản lý truy cập chặt chẽ, giám sát an ninh mạng và bảo vệ an ninh vật lý cho các trung tâm dữ liệu.

Mặc dù chưa có bộ quy chuẩn kỹ thuật tập trung, các văn bản pháp luật hiện hành đã đặt ra nhiều yêu cầu kỹ thuật cụ thể mà doanh nghiệp phải đáp ứng để đảm bảo an toàn thông tin và bảo vệ dữ liệu cá nhân.

Yêu cầu về mã hóa dữ liệu như thế nào?

Mã hóa là biện pháp bắt buộc đối với dữ liệu cá nhân thuộc bí mật nhà nước và là lựa chọn do doanh nghiệp quyết định đối với các loại dữ liệu cá nhân khác để tăng cường bảo mật.

Điều 12 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 nêu rõ, dữ liệu cá nhân là bí mật nhà nước phải được mã hóa theo quy định của pháp luật về bảo vệ bí mật nhà nước và pháp luật về cơ yếu. Đối với các loại dữ liệu cá nhân khác, đặc biệt là dữ liệu cá nhân nhạy cảm, việc mã hóa được khuyến khích mạnh mẽ và là một trong những biện pháp kỹ thuật hiệu quả nhất để bảo vệ dữ liệu. DPO.VN khuyến nghị doanh nghiệp nên áp dụng mã hóa cho cả dữ liệu đang được lưu trữ (data at rest) và dữ liệu đang được truyền đi (data in transit) để đảm bảo an toàn tối đa.

Tiêu chuẩn cho hệ thống thông tin, phần cứng và phần mềm là gì?

Hệ thống thông tin phải được phân vùng mạng, kiểm tra an ninh mạng trước khi sử dụng, và thường xuyên cập nhật các bản vá lỗi để loại bỏ lỗ hổng bảo mật.

Các quy định tại Nghị định 13/2023/NĐ-CP và Nghị định 53/2022/NĐ-CP đã đưa ra các yêu cầu nền tảng. Cụ thể, Điều 11 Nghị định 53/2022/NĐ-CP yêu cầu hệ thống mạng phải được chia tách thành các vùng mạng khác nhau (phân vùng cho máy chủ, vùng DMZ, vùng mạng không dây). Điều 27 Nghị định 13/2023/NĐ-CP cũng nhấn mạnh việc phải kiểm tra an ninh mạng đối với hệ thống và thiết bị trước khi xử lý dữ liệu. Điều này bao gồm việc rà quét để phát hiện điểm yếu, mã độc, và đảm bảo phần mềm hệ thống, phần mềm ứng dụng luôn được cập nhật bản vá lỗi mới nhất.

Quy định về quản lý truy cập và giám sát an ninh mạng ra sao?

Doanh nghiệp phải thiết lập cơ chế kiểm soát truy cập chặt chẽ theo nguyên tắc đặc quyền tối thiểu, ghi và lưu trữ nhật ký hệ thống, đồng thời triển khai các giải pháp giám sát để phát hiện sớm các xâm nhập trái phép.

Theo Điều 11 Nghị định 53/2022/NĐ-CP, việc kiểm soát truy cập là yêu cầu cốt lõi. Mỗi tài khoản phải được gán cho một người dùng duy nhất và quyền truy cập phải được cấp phát, thu hồi một cách có kiểm soát. Đặc biệt, các tài khoản có quyền quản trị cao phải được giám sát chặt chẽ. Ngoài ra, việc ghi và lưu trữ nhật ký hệ thống tối thiểu 3 tháng và sao lưu định kỳ là bắt buộc để phục vụ việc điều tra khi có sự cố xảy ra. Các giải pháp kỹ thuật như hệ thống phát hiện và ngăn chặn xâm nhập (IDS/IPS) cũng cần được triển khai để bảo vệ hệ thống một cách chủ động.

Doanh nghiệp cần đáp ứng những yêu cầu nào về quản lý và vận hành theo tiêu chuẩn?

Doanh nghiệp cần xây dựng và ban hành các quy định, chính sách nội bộ về bảo vệ dữ liệu cá nhân; chỉ định bộ phận hoặc nhân sự chuyên trách; xây dựng phương án ứng phó sự cố và tổ chức đào tạo, nâng cao nhận thức cho toàn bộ nhân viên.

Bên cạnh các biện pháp kỹ thuật, yếu tố con người và quy trình quản lý đóng vai trò quyết định đến hiệu quả của việc bảo vệ dữ liệu cá nhân.

Chính sách quản lý và quy trình nội bộ cần có những gì?

Doanh nghiệp phải xây dựng và ban hành các quy định về bảo vệ dữ liệu cá nhân, trong đó nêu rõ các quy trình từ thu thập, xử lý, lưu trữ đến xóa, hủy dữ liệu, cùng với trách nhiệm của từng bộ phận, cá nhân.

Điều 27 Nghị định 13/2023/NĐ-CP yêu cầu các tổ chức, cá nhân phải xây dựng và ban hành các quy định về bảo vệ dữ liệu cá nhân. Bộ chính sách này cần bao trùm toàn bộ vòng đời của dữ liệu, bao gồm:

• Chính sách thu thập dữ liệu: Quy định rõ mục đích, phạm vi thu thập, và cách thức lấy sự đồng ý của chủ thể dữ liệu.
• Chính sách lưu trữ và xử lý dữ liệu: Xác định thời gian lưu trữ cho từng loại dữ liệu và các biện pháp bảo mật áp dụng trong quá trình xử lý.
• Chính sách quản lý quyền của chủ thể dữ liệu: Thiết lập quy trình tiếp nhận và xử lý các yêu cầu của chủ thể dữ liệu (truy cập, chỉnh sửa, xóa…).
• Chính sách xóa, hủy dữ liệu: Quy định rõ khi nào và làm thế nào để xóa, hủy dữ liệu một cách an toàn khi không còn cần thiết.

Yêu cầu về nhân sự và bộ phận chuyên trách bảo vệ dữ liệu cá nhân ra sao?

Doanh nghiệp, đặc biệt là các đơn vị xử lý dữ liệu cá nhân nhạy cảm, phải chỉ định bộ phận có chức năng bảo vệ dữ liệu cá nhân và nhân sự phụ trách (DPO), đồng thời thông báo thông tin này cho cơ quan chuyên trách.

Điều 28 Nghị định 13/2023/NĐ-CP và Điều 33 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 đều nhấn mạnh tầm quan trọng của lực lượng bảo vệ dữ liệu cá nhân trong doanh nghiệp. Việc chỉ định một nhân sự hoặc bộ phận chuyên trách (thường gọi là DPO – Data Protection Officer) giúp đảm bảo rằng các hoạt động tuân thủ được giám sát liên tục, các chính sách được cập nhật và nhân viên được đào tạo đầy đủ. Đây là đầu mối liên lạc chính với cơ quan chức năng và với chủ thể dữ liệu khi có các vấn đề liên quan đến quyền riêng tư.

Quy trình ứng phó sự cố cần được xây dựng như thế nào?

Doanh nghiệp phải có một kế hoạch ứng phó sự cố chi tiết, bao gồm các bước phát hiện, ngăn chặn, đánh giá, khắc phục và báo cáo vi phạm cho Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao trong vòng 72 giờ.

Theo Điều 23 Nghị định 13/2023/NĐ-CP, khi phát hiện vi phạm, Bên Kiểm soát dữ liệu cá nhân phải thông báo cho Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) chậm nhất 72 giờ. Để làm được điều này, doanh nghiệp cần có một quy trình ứng phó sự cố rõ ràng, bao gồm:

1. Phát hiện và nhận định: Xác định sự cố có phải là một vi phạm dữ liệu cá nhân hay không.
2. Ngăn chặn và khoanh vùng: Thực hiện các hành động ngay lập tức để ngăn chặn thiệt hại lan rộng.
3. Đánh giá rủi ro: Phân tích mức độ ảnh hưởng của vi phạm đến quyền và lợi ích của chủ thể dữ liệu.
4. Thông báo: Lập và gửi thông báo theo Mẫu số 03a (dành cho tổ chức) hoặc Mẫu số 03b (dành cho cá nhân) cho cơ quan chức năng và thông báo cho các chủ thể dữ liệu bị ảnh hưởng nếu cần thiết.
5. Khắc phục và rút kinh nghiệm: Điều tra nguyên nhân gốc rễ và áp dụng các biện pháp để ngăn ngừa sự cố tái diễn.

Doanh nghiệp có thể áp dụng các tiêu chuẩn quốc tế như ISO/IEC 27701 để tuân thủ quy định tại Việt Nam không?

Việc áp dụng các tiêu chuẩn quốc tế như ISO/IEC 27701 là một phương pháp hiệu quả và được khuyến khích để đáp ứng phần lớn các yêu cầu của pháp luật Việt Nam. Tuy nhiên, nó không thay thế hoàn toàn nghĩa vụ tuân thủ các quy định đặc thù của Việt Nam.

💡 Luật sư Nguyễn Tiến Hảo chia sẻ: Việc đạt được chứng nhận ISO/IEC 27701 (Hệ thống quản lý thông tin riêng tư) là một bằng chứng mạnh mẽ về trách nhiệm giải trình của doanh nghiệp. Nó cho thấy doanh nghiệp đã có một hệ thống quản lý bài bản để bảo vệ dữ liệu cá nhân. Nhiều yêu cầu của ISO/IEC 27701 tương thích cao với Nghị định 13 và Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15.

Tuy nhiên, doanh nghiệp vẫn cần lưu ý đến các điểm khác biệt và yêu cầu đặc thù của Việt Nam, chẳng hạn như:

• Thủ tục hành chính: Bắt buộc phải lập và gửi Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài cho Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao.
• Sự đồng ý: Các yêu cầu về việc lấy sự đồng ý của chủ thể dữ liệu tại Việt Nam có những điểm riêng biệt cần tuân thủ.
• Cơ quan quản lý: Phải làm việc và báo cáo trực tiếp cho cơ quan chuyên trách của Việt Nam là Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (Bộ Công an).

Do đó, DPO.VN khuyến nghị doanh nghiệp nên xem việc áp dụng tiêu chuẩn quốc tế là một nền tảng vững chắc, sau đó tiến hành rà soát và điều chỉnh (gap analysis) để đảm bảo tuân thủ đầy đủ và toàn diện các quy định của pháp luật Việt Nam.

Cơ quan nào chịu trách nhiệm ban hành và kiểm tra việc tuân thủ các tiêu chuẩn bảo vệ dữ liệu cá nhân?

Bộ Công an là cơ quan đầu mối chịu trách nhiệm trước Chính phủ thực hiện quản lý nhà nước về bảo vệ dữ liệu cá nhân. Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05) là cơ quan chuyên trách trực tiếp thực hiện việc tiếp nhận hồ sơ, kiểm tra và xử lý vi phạm.

Vai trò và trách nhiệm của các cơ quan nhà nước được quy định rõ trong các văn bản pháp luật:

Doanh nghiệp cần xác định rõ các nghĩa vụ báo cáo và nộp hồ sơ của mình cho Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao để đảm bảo tuân thủ đầy đủ. Việc xây dựng một kênh liên lạc hiệu quả với cơ quan này cũng là một yếu tố quan trọng trong chiến lược tuân thủ của doanh nghiệp.

Các Câu Hỏi Thường Gặp Về Tiêu Chuẩn Bảo Vệ Dữ Liệu Cá Nhân

Tài liệu tham khảo

• Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15.
• Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân.
• Tiêu chuẩn ISO/IEC 27701:2019 – Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines.
• Thông tin về hoạt động của Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao.
• Các văn bản liên quan đến quá trình xây dựng Luật Bảo vệ dữ liệu cá nhân.