Nghị định 356/2025 có gì mới so với Nghị định 13/2023? 5 thay đổi về bảo vệ dữ liệu cá nhân từ 01/01/2026
1. Phải lưu trữ sự đồng ý của chủ thể dữ liệu cá nhân, không được thiết lập phương thức mặc định đồng ý
Trước khi Nghị định 356/2025/NĐ-CP có hiệu lực, Nghị định 13/2023/NĐ-CP đã đặt ra yêu cầu cơ bản đối với sự đồng ý của chủ thể dữ liệu cá nhân. Nghị định 356/2025/NĐ-CP đã cụ thể hóa hơn các yêu cầu này thông qua việc bổ sung và làm rõ tiêu chí “có thể kiểm chứng được” đối với việc thu thập sự đồng ý của chủ thể dữ liệu. Theo đó, các phương thức xin sự đồng ý phải bảo đảm khả năng xác định được:
(i) Chủ thể dữ liệu đã thực hiện việc đồng ý;
(ii) Thời điểm đồng ý;
(iii) Nội dung được đồng ý.
Các phương thức được liệt kê bao gồm: bằng văn bản; thông qua cuộc gọi được ghi âm; bằng cú pháp đồng ý qua tin nhắn điện thoại; qua thư điện tử, trang thông tin điện tử, nền tảng hoặc ứng dụng có thiết lập kỹ thuật xin sự đồng ý; cũng như các phương thức khác phù hợp, với điều kiện có thể in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc ở định dạng kiểm chứng được (Khoản 3 Điều 6).
Đáng chú ý, Nghị định 356 còn bổ sung quy định bên kiểm soát và xử lý dữ liệu cá nhân không được thiết lập phương thức mặc định đồng ý hoặc tạo ra các chỉ dẫn không rõ ràng, gây hiểu lầm giữa đồng ý và không đồng ý cho chủ thể dữ liệu. Các thiết lập mặc định sẵn có phải đảm bảo nguyên tắc bảo vệ dữ liệu cá nhân, tôn trọng các quyền của chủ thể dữ liệu cá nhân.
Như vậy, so với Nghị định 13/2023/NĐ-CP, Nghị định 356/2025/NĐ-CP đã nâng cao đáng kể mức độ chi tiết và chặt chẽ trong các yêu cầu về việc thu thập sự đồng ý của chủ thể dữ liệu, từ hình thức thể hiện, khả năng kiểm chứng cho đến việc cấm thiết lập cơ chế mặc định đồng ý. Những thay đổi này đòi hỏi doanh nghiệp phải rà soát và điều chỉnh quy trình xin, lưu trữ và chứng minh sự đồng ý, nhằm bảo đảm tuân thủ đầy đủ quy định pháp luật trước khi tiến hành xử lý dữ liệu cá nhân.
2. Thay đổi danh mục dữ liệu cá nhân cơ bản
Một trong những điểm đáng chú ý của Nghị định 356/2025/NĐ-CP là việc điều chỉnh danh mục dữ liệu cá nhân cơ bản so với quy định trước đây tại Nghị định 13/2023. Nghị định 356 đã có một số sửa đổi quan trọng về phạm vi và cách diễn đạt, qua đó ảnh hưởng trực tiếp đến việc xác định nghĩa vụ tuân thủ của doanh nghiệp trong quá trình xử lý dữ liệu.
- Không còn có “số CMND” (đã được thay thế bằng Căn cước) “số mã số thuế cá nhân; số BHXH; số thẻ BHYT” (do đều đã được thay thế bằng số định danh cá nhân);
- Bổ sung vợ, chồng vào nhóm thông tin về mối quan hệ gia đình bên cạnh cha mẹ và con như trước đây;
- Không còn có “dữ liệu cá nhân phản ánh hoạt động, lịch sử hoạt động trên không gian mạng;” (dữ liệu này được Nghị định 356 quy định là dữ liệu cá nhân nhạy cảm).
3. Bổ sung danh mục dữ liệu cá nhân nhạy cảm
So với Nghị định 13, Nghị định 356 mở rộng và cụ thể hóa hơn về các dữ liệu cá nhân nhạy cảm. Cụ thể Khoản 1 Điều 4 Nghị định 356 quy định dữ liệu cá nhân nhạy cảm.
4. Quy định chi tiết về trách nhiệm của doanh nghiệp khi chuyển giao dữ liệu cá nhân
Luật BVDLCN và Nghị định 356 lần đầu tiên quy định về “chuyển giao DLCN” đồng khẳng định rằng việc chuyển giao dữ liệu cá nhân trong các trường hợp luật định, dù có thu phí hay không thu phí thì không được xác định là mua, bán dữ liệu cá nhân – hành vi bị nghiêm cấm theo Khoản 6 Điều 7 Luật BVDLCN 2025.
Tuy nhiên, nhằm ngăn ngừa việc lợi dụng cơ chế chuyển giao để hợp thức hóa hoạt động mua, bán dữ liệu cá nhân trái phép, pháp luật đã đặt ra các điều kiện và nghĩa vụ cụ thể đối với bên chuyển giao. Nổi bật gồm:
(i) Nghĩa vụ xác lập thỏa thuận chuyển giao dữ liệu cá nhân
(ii) Yêu cầu áp dụng biện pháp bảo mật trong quá trình chuyển giao dữ liệu cá nhân nhạy cảm
(iii) Thiết lập cơ chế kiểm soát nội bộ khi chuyển giao dữ liệu cá nhân trong nội bộ tổ chức
5. Thời hạn phản hồi các yêu cầu từ chủ thể dữ liệu cá nhân
Nghị định 13 quy định “Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân thực hiện yêu cầu của chủ thể dữ liệu trong 72 giờ sau khi nhận được yêu cầu, trừ trường hợp luật có quy định khác”.
Trên cơ sở đó Điều 5 Nghị định 356 đã cụ thể hóa quy định này bằng việc thiết lập các mốc thời gian chi tiết đối với từng loại yêu cầu của chủ thể dữ liệu cá nhân.
Nghị định 356/2025/NĐ-CP đánh dấu bước phát triển quan trọng trong khuôn khổ pháp lý về bảo vệ dữ liệu cá nhân tại Việt Nam, khi không chỉ kế thừa các nguyên tắc nền tảng của Nghị định 13/2023/NĐ-CP mà còn cụ thể hóa và siết chặt đáng kể nghĩa vụ tuân thủ của doanh nghiệp. Từ việc yêu cầu lưu trữ và chứng minh sự đồng ý của chủ thể dữ liệu, điều chỉnh lại danh mục dữ liệu cá nhân cơ bản và mở rộng phạm vi dữ liệu cá nhân nhạy cảm, cho đến việc thiết lập cơ chế kiểm soát chặt chẽ trong hoạt động chuyển giao dữ liệu và ấn định các mốc thời gian chi tiết để phản hồi yêu cầu của chủ thể dữ liệu, Nghị định 356 đã chuyển trọng tâm quản lý từ nguyên tắc chung sang chuẩn mực vận hành cụ thể.
Trong bối cảnh Nghị định sẽ chính thức có hiệu lực từ ngày 01/01/2026, các tổ chức, doanh nghiệp cần chủ động rà soát toàn bộ quy trình xử lý dữ liệu cá nhân, hệ thống công nghệ thông tin, biểu mẫu xin sự đồng ý, thỏa thuận chuyển giao dữ liệu, cũng như cơ chế tiếp nhận và giải quyết yêu cầu của chủ thể dữ liệu, nhằm bảo đảm tuân thủ đầy đủ và giảm thiểu rủi ro pháp lý. Việc chuẩn bị sớm không chỉ giúp tránh nguy cơ bị xử phạt mà còn góp phần nâng cao uy tín doanh nghiệp và củng cố niềm tin của khách hàng trong môi trường kinh tế số ngày càng phụ thuộc vào dữ liệu.