Luật Bảo vệ dữ liệu cá nhân năm 2025 có hiệu lực từ ngày 01/1/2026 đã đặt ra nhiều quy định chặt chẽ nhằm bảo đảm quyền riêng tư của cá nhân trong quá trình thu thập, xử lý và sử đụng dữ liệu. Tuy nhiên, trong một số trường hợp đáp ứng những điều kiện nhất định, dữ liệu cá nhân vẫn được phép công khai theo quy định pháp luật. Vậy những trường hợp nào dữ liệu cá nhân được phép công khai theo quy định của Luật Bảo vệ dữ liệu cá nhân năm 2025? Hãy cùng Luật Hợp Nhất tìm hiểu thông qua nội dung bài viết dưới đây.
1. Dữ liệu cá nhân là gì?
Căn cứ theo khoản 1 Điều 2 Luật Bảo vệ dữ liệu cá nhân 2025 có nội dung như sau:
“1. Dữ liệu cá nhân là dữ liệu số hoặc thông tin dưới dạng khác xác định hoặc giúp xác định một con người cụ thể, bao gồm: dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm. Dữ liệu cá nhân sau khi khử nhận dạng không còn là dữ liệu cá nhân.”
Dữ liệu cá nhân là những dữ liệu hoặc thông tin dưới dạng số hoặc định dạng khác xác định hoặc giúp xác định một con người cụ thể, bao gồm: dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm. Dữ liệu cá nhân cơ bản được xác định theo quy định tại khoản 2 Điều 2 Luật Bảo vệ dữ liệu cá nhân năm 2025 như sau:
“2. Dữ liệu cá nhân cơ bản là dữ liệu cá nhân phản ánh các yếu tố nhân thân, lai lịch phổ biến, thường xuyên sử dụng trong các giao dịch, quan hệ xã hội, thuộc danh mục do Chính phủ ban hành.”
Dữ liệu cá nhân cơ bản gồm 11 nhóm dữ liệu được quy định tại Điều 3 Nghị định số 356/2025/NĐ-CP có hiệu lực từ ngày 01/01/2026 như sau:
“Điều 3. Danh mục dữ liệu cá nhân cơ bản
Dữ liệu cá nhân cơ bản bao gồm:
1. Họ, chữ đệm và tên khai sinh, tên gọi khác (nếu có);
2. Ngày, tháng, năm sinh; ngày, tháng, năm chết hoặc mất tích;
3. Giới tính;
4. Nơi sinh, nơi đăng ký khai sinh, nơi đăng ký thường trú, nơi đăng ký tạm trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ;
5. Quốc tịch;
6. Hình ảnh của cá nhân;
7. Số điện thoại, số định danh cá nhân, số hộ chiếu, số giấy phép lái xe, số biển số xe;
8. Tình trạng hôn nhân;
9. Thông tin về mối quan hệ gia đình (cha mẹ, con, vợ, chồng);
10. Thông tin về tài khoản số của cá nhân;
11. Các thông tin khác gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể không thuộc quy định tại Điều 4 Nghị định này.”
Dữ liệu cá nhân nhạy cảm được xác định theo quy định tại khoản 3 Điều 2 Luật Bảo vệ dữ liệu cá nhân năm 2025 là dữ liệu cá nhân gắn liền với quyền riêng tư của cá nhân, khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp đến quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân, thuộc danh mục do Chính phủ ban hành. Danh mục dữ liệu cá nhân nhạy cảm được quy định tại khoản 1 Điều 4 Nghị định số 356/2025/NĐ-CP của Chính phủ có hiệu lực từ ngày 01/01/2026 như sau:
“1. Dữ liệu cá nhân nhạy cảm bao gồm:
a) Dữ liệu tiết lộ nguồn gốc chủng tộc, nguồn gốc dân tộc;
b) Quan điểm về chính trị, tôn giáo, tín ngưỡng;
c) Thông tin về đời sống riêng tư, bí mật cá nhân, bí mật gia đình;
d) Tình trạng sức khỏe;
đ) Dữ liệu sinh trắc học, đặc điểm di truyền;
e) Dữ liệu tiết lộ đời sống tình dục, xu hướng tình dục của cá nhân;
g) Dữ liệu về tội phạm, vi phạm pháp luật được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật;
h) Vị trí của cá nhân được xác định qua dịch vụ định vị;
i) Thông tin tên đăng nhập và mật khẩu truy cập tài khoản định danh điện tử của cá nhân; hình ảnh thẻ căn cước, thẻ căn cước công dân, chứng minh nhân dân;
k) Tên đăng nhập, mật khẩu truy cập của tài khoản ngân hàng; thông tin thẻ ngân hàng, dữ liệu về lịch sử giao dịch của tài khoản ngân hàng; thông tin tài chính, tín dụng và các thông tin về hoạt động, lịch sử giao dịch tài chính, chứng khoán, bảo hiểm của khách hàng tại các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, chứng khoán, bảo hiểm, các tổ chức được phép khác;
l) Dữ liệu theo dõi hành vi, hoạt động sử dụng dịch vụ viễn thông, mạng xã hội, dịch vụ truyền thông trực tuyến và các dịch vụ khác trên không gian mạng;
m) Dữ liệu cá nhân khác được pháp luật quy định cần giữ bí mật hoặc cần có biện pháp bảo mật chặt chẽ.”
2. Quy định về các trường hợp được công khai dữ liệu cá nhân
Điều 16 Luật Bảo vệ dữ liệu cá nhân năm 2025 quy định về các trường hợp được phép công khai dữ liệu cá nhân, tuy nhiên chỉ được công khai với mục địch cụ thể và việc công khai không được xâm phạm đến quyền lợi, lợi ích hợp pháp của chủ thể dữ liệu cá nhân, cụ thể như sau:
“1. Dữ liệu cá nhân chỉ được công khai với mục đích cụ thể. Phạm vi công khai, loại dữ liệu cá nhân được công khai phải phù hợp với mục đích công khai. Việc công khai dữ liệu cá nhân không được xâm phạm đến quyền, lợi ích hợp pháp của chủ thể dữ liệu cá nhân.
2. Dữ liệu cá nhân chỉ được công khai trong các trường hợp sau đây:
a) Khi có sự đồng ý của chủ thể dữ liệu cá nhân;
b) Thực hiện theo quy định của pháp luật;
c) Trường hợp quy định tại điểm b khoản 1 Điều 19 của Luật này;
d) Thực hiện nghĩa vụ theo hợp đồng.”
Như vậy, dữ liệu cá nhân chỉ được công khai trong các trường hợp với mục đích đã được pháp luật quy định. Các dữ liệu cá nhân được công khai phải bảo đảm phản ánh đúng dữ liệu cá nhân từ nguồn dữ liệu gốc và tạo thuận lợi cho cơ quan, tổ chức, cá nhân trong việc tiếp cận, khai thác và sử dụng. Các hình thức công khai dữ liệu cá nhân được quy định tại khoản 4 Điều 16 Luật Bảo vệ dữ liệu cá nhân năm 2025 bao gồm: đăng tải dữ liệu trên trang thông tin điện tử, cổng thông tin điện tử, phương tiện thông tin đại chúng và các hình thức khác theo quy định của pháp luật.
Bên cạnh đó, theo khoản 5 Điều 16 Luật Bảo vệ dữ liệu cá nhân có quy định rằng các cơ quan, tổ chức và cá nhân công khai dữ liệu cá nhân phải kiểm soát và giám sát chặt chẽ việc công khai dữ liệu cá nhân để bảo đảm đúng mục đích, phạm vi và quy định pháp luật, ngăn chặn việc truy cập, sử dụng, tiết lộ, sao chép, sửa đổi, xóa, hủy hoặc các hành vi xử lý trái phép khác đối với dữ liệu cá nhân đã công khai trong khả năng, điều kiện của mình.
II. Xử lý vi phạm pháp luật về bảo vệ dữ liệu cá nhân
Căn cứ điểm e khoản 3 Điều 102 Nghị định 15/2020/NĐ-CP quy định xử phạt vi phạm hành chính trong lĩnh vực bưu chính, viễn thông, tần số vô tuyến điện, công nghệ thông tin và giao dịch điện tử có nội dung quy định xử phạt với hành vi sử dụng thông tin cá nhân mà không được sự đồng ý hoặc sai mục đích như sau:
“3. Phạt tiền từ 10.000.000 đồng đến 20.000.000 đồng đối với một trong các hành vi sau:
…
e) Thu thập, xử lý và sử dụng thông tin của tổ chức, cá nhân khác mà không được sự đồng ý hoặc sai mục đích theo quy định của pháp luật;”
Như vậy trường hợp dữ liệu cá nhân bị thu thập, công khai, sử dụng mà không được sự đồng ý của cá nhân đó hoặc sử dụng sai mục đích theo quy định của pháp luật thì người thực hiện hành vi vi phạm có thể bị phạt tiền từ 10 triệu đồng đến 20 triệu đồng.
Quý bạn đọc có thắc mắc hoặc có nhu cầu cần được tư vấn về vấn đề nêu trên vui lòng liên hệ địa chỉ email: info@hnlaw.com.vn, SĐT: 0972362884 của Công ty Luật TNHH Hợp Nhất để được hướng dẫn thêm!
————————-
Người thực hiện: Lã Hiểu Khánh
Tham vấn bởi: NVPL. Nguyễn Việt Hà
(Bản quyền tác giả và sở hữu chuyên đề thuộc về Công ty Luật TNHH Hợp Nhất)
