Danh mục dữ liệu cá nhân nhạy cảm từ 01/01/2026

Danh mục dữ liệu cá nhân nhạy cảm là căn cứ quan trọng trong việc xác định chuẩn mực an toàn thông tin cho mọi tổ chức và doanh nghiệp tại Việt Nam. Nắm vững những nội dung này cũng giúp doanh nghiệp củng cố niềm tin với khách hàng và đối tác thông qua việc tuân thủ đúng các quy định mới. Bài viết dưới đây của Tư vấn Long Phan sẽ phân tích chi tiết các nội dung liên quan đến danh mục dữ liệu cá nhân nhạy cảm Quý khách hàng cần nắm vững để sẵn sàng cho giai đoạn mới.

Dữ liệu về đời sống riêng tư

Theo quy định tại khoản 1 Điều 4 Nghị định 356/2025/NĐ-CP, các dữ liệu về đời sống riêng tư thuộc danh mục dữ liệu cá nhân nhạy cảm bao gồm:

• Dữ liệu tiết lộ nguồn gốc chủng tộc, nguồn gốc dân tộc;
• Quan điểm về chính trị, tôn giáo, tín ngưỡng;
• Thông tin về đời sống riêng tư, bí mật cá nhân, bí mật gia đình;
• Tình trạng sức khỏe;
• Dữ liệu sinh trắc học, đặc điểm di truyền;
• Dữ liệu tiết lộ đời sống tình dục, xu hướng tình dục của cá nhân;
• Dữ liệu về tội phạm, vi phạm pháp luật được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật;
• Vị trí của cá nhân được xác định qua dịch vụ định vị;
• Thông tin tên đăng nhập và mật khẩu truy cập tài khoản định danh điện tử của cá nhân; hình ảnh thẻ căn cước, thẻ căn cước công dân, chứng minh nhân dân;
• Tên đăng nhập, mật khẩu truy cập của tài khoản ngân hàng; thông tin thẻ ngân hàng, dữ liệu về lịch sử giao dịch của tài khoản ngân hàng; thông tin tài chính, tín dụng và các thông tin về hoạt động, lịch sử giao dịch tài chính, chứng khoán, bảo hiểm của khách hàng tại các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, chứng khoán, bảo hiểm, các tổ chức được phép khác;
• Dữ liệu theo dõi hành vi, hoạt động sử dụng dịch vụ viễn thông, mạng xã hội, dịch vụ truyền thông trực tuyến và các dịch vụ khác trên không gian mạng;
• Dữ liệu cá nhân khác được pháp luật quy định cần giữ bí mật hoặc cần có biện pháp bảo mật chặt chẽ.

Dữ liệu về sức khỏe

Thông tin về sức khỏe là thông tin quan trọng, phản ánh tình trạng sinh học của một người và có ảnh hưởng trực tiếp đến cơ hội việc làm cũng như các chế độ bảo hiểm. Các thành phần chính của nhóm dữ liệu này bao gồm:

• Hồ sơ bệnh án: Bao gồm lịch sử khám chữa bệnh, kết quả xét nghiệm, đơn thuốc và các chẩn đoán lâm sàng. 
• Tình trạng sức khỏe thể chất, tinh thần: Các đánh giá về năng lực thể chất, tình trạng tâm lý, các bệnh mãn tính hoặc truyền nhiễm.
• Thông tin di truyền: Các dữ liệu về gen, nhiễm sắc thể mang tính di truyền qua các thế hệ.
• Thông tin về khuyết tật: Mức độ khuyết tật, dạng khuyết tật (vận động, nghe, nhìn…).

Dữ liệu sinh trắc học

Dữ liệu sinh trắc học đang trở thành phương thức xác thực phổ biến nhất nhưng cũng tiềm ẩn rủi ro an ninh mạng cao nhất. Điểm đ, khoản 1, Điều 4, Nghị định 356/2025/NĐ-CP đã xếp dữ liệu sinh trắc học vào danh mục dữ liệu cá nhân nhạy cảm. Quý khách hàng sử dụng công nghệ chấm công hoặc kiểm soát ra vào bằng sinh trắc học cần đặc biệt chú trọng đến quy trình lưu trữ và mã hóa. Chi tiết về nhóm dữ liệu sinh trắc học bao gồm:

• Dấu vân tay: Là đặc điểm nhận dạng phổ biến nhất, thường được thu thập trong làm Căn cước công dân hoặc kiểm soát an ninh tòa nhà.
• Nhận dạng khuôn mặt (Face ID): Dữ liệu hình ảnh 3D hoặc các điểm đặc trưng trên khuôn mặt dùng để xác thực danh tính trong các ứng dụng tài chính và an ninh.
• Mống mắt, võng mạc: Công nghệ quét mắt có độ chính xác cao, thường dùng trong các khu vực an ninh quốc phòng hoặc bảo mật cấp cao.
• Giọng nói: Mẫu giọng nói dùng để nhận diện hoặc điều khiển thiết bị cũng được coi là dữ liệu sinh trắc học.
• ADN: Mẫu gen dùng để xác định huyết thống hoặc danh tính tội phạm.
• Các tài liệu khác dùng để xác định duy nhất một cá nhân: Bất kỳ dữ liệu sinh học nào khác có khả năng định danh chính xác một con người cụ thể.

Dữ liệu về tài chính – kinh tế

Trong nền kinh tế số, dữ liệu tài chính là mục tiêu tấn công hàng đầu của tội phạm mạng. Việc lộ lọt thông tin tài chính không chỉ gây thiệt hại về tài sản mà còn ảnh hưởng đến uy tín tín dụng của cá nhân. Các tổ chức tín dụng và trung gian thanh toán phải tuân thủ các chuẩn mực an toàn thông tin quốc tế đối với nhóm dữ liệu này. Các loại dữ liệu tài chính nhạy cảm bao gồm:

• Thông tin tài khoản ngân hàng: Số tài khoản, tên chủ tài khoản và số dư hiện tại.
• Thông tin thẻ tín dụng, thẻ ghi nợ: Số thẻ, mã bảo mật, ngày hết hạn. Đây là dữ liệu nhạy cảm bậc nhất cần tuân thủ tiêu chuẩn.
• Lịch sử tín dụng: Điểm tín dụng lịch sử trả nợ, các khoản nợ xấu. Thông tin này quyết định khả năng tiếp cận vốn vay của cá nhân.
• Thu nhập, tài sản: Thông tin về lương, thưởng, bất động sản, sở hữu cổ phần và các nguồn thu nhập khác.
• Thông tin nghĩa vụ thuế: Mã số thuế cá nhân, tình trạng đóng thuế, các khoản giảm trừ gia cảnh.

Dữ liệu về vị trí

Dữ liệu vị trí cho phép vẽ lại bản đồ di chuyển và thói quen sinh hoạt của một cá nhân, từ đó xâm phạm sâu sắc đến quyền riêng tư của cá nhân đó. Việc thu thập dữ liệu này qua các thiết bị di động hoặc phương tiện giao thông thông minh phải được kiểm soát chặt chẽ. Quý khách hàng kinh doanh dịch vụ vận tải hoặc ứng dụng định vị cần minh bạch hóa mục đích sử dụng dữ liệu này. Nội dung cụ thể bao gồm:

• Dữ liệu định vị thời gian thực (GPS): Tọa độ chính xác của cá nhân tại một thời điểm cụ thể, được thu thập qua sóng vệ tinh, wifi hoặc trạm phát sóng di động.
• Lịch sử di chuyển xác định được cá nhân: Nhật ký hành trình, các địa điểm thường xuyên lui tới (nhà riêng, nơi làm việc, trường học con cái). Việc phân tích dữ liệu này có thể tiết lộ các mối quan hệ xã hội và thói quen riêng tư.

Dữ liệu về nhân thân – pháp lý

Dữ liệu nhân thân – pháp lý là nhóm thông tin ảnh hưởng trực tiếp đến cá nhân. Do đó, việc xử lý thông tin này thường chỉ thuộc thẩm quyền của các cơ quan tư pháp hoặc các tổ chức được pháp luật cho phép đặc biệt. Doanh nghiệp cần hạn chế tối đa việc lưu trữ các thông tin này nếu không phục vụ yêu cầu bắt buộc của pháp luật. Nhóm dữ liệu này bao gồm:

• Thông tin lý lịch tư pháp: Các ghi nhận chính thức về án tích của một người do cơ quan quản lý cơ sở dữ liệu lý lịch tư pháp cấp.
• Thông tin tiền án, tiền sự: Các bản án, quyết định xử phạt vi phạm hành chính trong quá khứ.
• Thông tin về vi phạm pháp luật: Các hành vi vi phạm pháp luật khác chưa đến mức truy cứu trách nhiệm hình sự.
• Thông tin đang bị điều tra, truy tố, xét xử: Tình trạng tố tụng của cá nhân. Đây là thông tin nhạy cảm vì liên quan đến nguyên tắc suy đoán vô tội, việc tiết lộ có thể gây oan sai hoặc tổn hại danh dự không đáng có.

Dữ liệu trong quan hệ lao động

Trong môi trường doanh nghiệp, dữ liệu quan hệ lao động không chỉ là thông tin hành chính mà còn gắn liền với quyền lợi và uy tín nghề nghiệp của người lao động. Việc quản lý hồ sơ nhân sự phải đảm bảo tính bảo mật nội bộ, tránh việc chia sẻ tùy tiện gây mâu thuẫn hoặc tranh chấp. Cụ thể bao gồm:

• Đánh giá nhân sự: Các biên bản đánh giá hiệu suất (KPI), nhận xét năng lực, phẩm chất của nhân viên.
• Hồ sơ kỷ luật lao động: Các quyết định cảnh cáo, sa thải, biên bản vi phạm nội quy lao động.
• Thông tin tranh chấp lao động: Các khiếu nại, tố cáo, biên bản hòa giải tranh chấp giữa người lao động và người sử dụng lao động.
• Thông tin tiền lương gắn với cá nhân cụ thể: Chi tiết bảng lương, các khoản phụ cấp, thưởng riêng biệt. Nếu có điều khoản bảo mật thông tin, việc lộ thông tin lương thường gây ra các vấn đề nhạy cảm trong quản lý nhân sự.

>>> Xem thêm: Thỏa thuận bảo mật thông tin giữa công ty và người lao động 

Dữ liệu cá nhân của nhóm đối tượng đặc thù

Khi xử lý dữ liệu của nhóm đối tượng yếu thế hoặc chưa có đầy đủ năng lực hành vi để tự bảo vệ mình trên không gian mạng, yêu cầu về sự đồng ý và giám sát được nâng lên mức cao nhất. Quý khách hàng phải thiết lập các rào cản kỹ thuật để ngăn chặn việc khai thác trái phép dữ liệu của các đối tượng này. Dữ liệu của những đối tượng này bao gồm:

• Dữ liệu cá nhân của trẻ em: Mọi thông tin liên quan đến người dưới 16 tuổi. Việc xử lý bắt buộc phải có sự đồng ý của trẻ (nếu từ 7 tuổi trở lên) và sự xác nhận của cha, mẹ hoặc người giám hộ.
• Dữ liệu cá nhân của người mất năng lực hành vi dân sự: Người bị bệnh tâm thần hoặc bệnh khác không thể nhận thức, làm chủ hành vi.
• Dữ liệu cá nhân của người bị hạn chế năng lực hành vi dân sự: Người nghiện ma túy, nghiện các chất kích thích khác dẫn đến phá tán tài sản gia đình và đã có quyết định của Tòa án.

Lưu ý quan trọng khi xử lý dữ liệu cá nhân nhạy cảm

Từ ngày 01/01/2026, quy trình xử lý dữ liệu nhạy cảm không còn là khuyến nghị mà là nghĩa vụ bắt buộc. Hiện nay căn cứ theo quy định của Điều 7, Nghị định 356/2025/NĐ-CP yêu cầu các tổ chức phải chuyển đổi từ mô hình bảo vệ bị động sang chủ động quản trị rủi ro. Quý khách hàng cần rà soát lại toàn bộ quy trình vận hành để đảm bảo đáp ứng các tiêu chuẩn mới. Tổ chức hoặc cá nhân xử lý dữ liệu cá nhân nhạy cảm cần đặc biệt lưu ý:

• Bắt buộc có sự đồng ý rõ ràng, cụ thể: Không chấp nhận sự đồng ý mặc định hoặc sự im lặng. Thông báo xin đồng ý phải nêu rõ đây là dữ liệu nhạy cảm.
• Chỉ xử lý đúng mục đích đã thông báo: Tuyệt đối không sử dụng dữ liệu cho mục đích phát sinh mà chưa xin phép lại.
• Áp dụng biện pháp kỹ thuật – quản lý nâng cao: Mã hóa dữ liệu, thiết lập tường lửa, kiểm soát truy cập chặt chẽ.
• Lập và lưu hồ sơ đánh giá tác động xử lý dữ liệu cá nhân: Đây là tài liệu bắt buộc phải có sẵn để giải trình với cơ quan chức năng về các rủi ro và biện pháp giảm thiểu.
• Trách nhiệm giải trình cao hơn: Khi có khiếu nại hoặc thanh tra, bên kiểm soát dữ liệu có nghĩa vụ chứng minh mình đã tuân thủ đúng quy định.

Trách nhiệm của bên thu thập dữ liệu cá nhân khi phát hiện lộ, mất dữ liệu nhạy cảm trong hoạt động tài chính, ngân hàng, hoạt động thông tin tín dụng

Lĩnh vực tài chính ngân hàng là lĩnh vực quan trọng trong nền kinh tế, do đó khoản 8 Điều 8 Nghị định 356/2025/NĐ-CP đã đặt ra quy định về trách nhiệm của bên thu thập dữ liệu cá nhân khi phát hiện lộ, mất dữ liệu nhạy cảm trong hoạt động tài chính, ngân hàng, hoạt động thông tin tín dụng, cụ thể như sau: 

• Thông báo trong 72 giờ: Ngay khi phát hiện sự cố lộ, mất dữ liệu nhạy cảm, trong thời hạn tối đa 72 giờ, tổ chức phải thông báo cho cơ quan chuyên trách bảo vệ dữ liệu (Bộ Công an) và các chủ thể dữ liệu bị ảnh hưởng.
• Nội dung thông báo: Phải bao gồm mô tả tính chất vụ việc, loại dữ liệu bị lộ, hậu quả ước tính và các biện pháp khắc phục đã hoặc sẽ thực hiện. (Cần đảm bảo có tối thiểu  các nội dung quy định tại khoản 1 Điều 28 Nghị định 356/2025/NĐ-CP)
• Khắc phục hậu quả: Phải lập tức áp dụng các biện pháp ngăn chặn rò rỉ thêm, phối hợp với cơ quan chức năng để điều tra và hỗ trợ khách hàng giảm thiểu thiệt hại.

>>> Xem thêm: Dịch vụ xử lý dữ liệu 

Các câu hỏi thường gặp

Sau đây, Tư vấn Long Phan xin cung cấp một số câu hỏi phổ biến liên quan đến danh mục dữ liệu cá nhân nhạy cảm từ 01/01/2026. Xin mời Quý Khách hàng có nhu cầu tham khảo:

Hình thức thể hiện sự đồng ý của chủ thể dữ liệu cần đáp ứng điều kiện gì để được xem là hợp lệ?

Sự đồng ý phải được thể hiện qua các phương thức có khả năng kiểm chứng được như: văn bản, cuộc gọi ghi âm, cú pháp tin nhắn, thư điện tử hoặc xác nhận trên nền tảng số. Quan trọng nhất, doanh nghiệp phải lưu trữ được bằng chứng xác định chủ thể đã đồng ý, thời điểm và nội dung đồng ý. 

Căn cứ pháp lý: Khoản 1, Khoản 2 Điều 6 Nghị định 356/2025/NĐ-CP

Doanh nghiệp có được thiết lập chế độ “mặc định đồng ý” (ví dụ: ô tích sẵn) khi thu thập dữ liệu nhạy cảm không?

Không. Pháp luật nghiêm cấm việc thiết lập phương thức mặc định đồng ý hoặc tạo ra các chỉ dẫn gây hiểu lầm. Các thiết lập mặc định phải đảm bảo nguyên tắc bảo vệ dữ liệu và tôn trọng quyền quyết định của chủ thể. 

Căn cứ pháp lý: Khoản 3 Điều 6 Nghị định 356/2025/NĐ-CP

Khi xin sự đồng ý xử lý dữ liệu nhạy cảm, tổ chức thu thập có nghĩa vụ thông báo đặc biệt gì không?

Có. Ngoài các nội dung thông báo thông thường, tổ chức bắt buộc phải thông báo rõ ràng cho chủ thể dữ liệu biết rằng dữ liệu đang được yêu cầu xử lý là “dữ liệu cá nhân nhạy cảm”.

Căn cứ pháp lý: Khoản 4 Điều 6 Nghị định 356/2025/NĐ-CP

Việc chuyển giao dữ liệu cá nhân nhạy cảm cho bên thứ ba yêu cầu biện pháp bảo mật kỹ thuật nào?

Quá trình chuyển giao bắt buộc phải áp dụng biện pháp bảo mật vật lý đối với thiết bị lưu trữ/ truyền tải, thực hiện mã hóa dữ liệu, ẩn danh dữ liệu và các biện pháp bảo mật khác để đảm bảo an toàn trong suốt quá trình chuyển giao. 

Căn cứ pháp lý: Khoản 2 Điều 7 Nghị định 356/2025/NĐ-CP

Trong trường hợp xảy ra tranh chấp, bên nào chịu trách nhiệm chứng minh sự đồng ý của chủ thể dữ liệu?

Trách nhiệm chứng minh sự đồng ý thuộc về Bên kiểm soát dữ liệu hoặc Bên kiểm soát và xử lý dữ liệu cá nhân, không phải thuộc về chủ thể dữ liệu (người dùng).

Căn cứ pháp lý: Khoản 2 Điều 6 Nghị định 356/2025/NĐ-CP)

Kết luận

Việc nắm vững và tuân thủ danh mục dữ liệu cá nhân nhạy cảm không chỉ là yêu cầu bắt buộc, mà còn là cơ hội giúp doanh nghiệp củng cố uy tín, tăng độ tin cậy và xây dựng môi trường vận hành an toàn về dữ liệu. Chủ động thiết lập đúng quy trình bảo mật sẽ giúp doanh nghiệp giảm thiểu rủi ro, nâng cao năng lực quản trị và tạo lợi thế cạnh tranh bền vững. Quý khách hàng vui lòng liên hệ Tư vấn Long Phan qua hotline 1900636389 để được hỗ trợ pháp lý kịp thời và chuyên nghiệp.