Nghị định 356/2025 của Chính phủ quy định chi tiết một số điều và biện pháp thi hành luật Bảo vệ dữ liệu cá nhân 2025 được ban hành ngày 31.12.2025, có hiệu lực ngay từ ngày 1.1.2026.

Các điều khoản Zalo buộc người dùng đồng ý để tiếp tục sử dụng phần mềm đang gây lo ngại về quyền riêng tư trong thời gian vừa qua ẢNH: TƯ LIỆU

Trong đó, theo Điều 2 luật Bảo vệ dữ liệu cá nhân giải thích, dữ liệu cá nhân là dữ liệu số hoặc thông tin dưới dạng khác xác định hoặc giúp xác định một con người cụ thể, bao gồm: dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm.

Vì vậy, Nghị định 356/2025 quy định chi tiết về dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm.

Cụ thể, dữ liệu cá nhân cơ bản bao gồm:

Họ, chữ đệm và tên khai sinh, tên gọi khác (nếu có).

Ngày, tháng, năm sinh; ngày, tháng, năm chết hoặc mất tích.

Giới tính.

Nơi sinh, nơi đăng ký khai sinh, nơi đăng ký thường trú, nơi đăng ký tạm trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ.

Quốc tịch.

Hình ảnh của cá nhân.

Số điện thoại, số định danh cá nhân, số hộ chiếu, số giấy phép lái xe, số biển số xe.

Tình trạng hôn nhân.

Thông tin về mối quan hệ gia đình (cha mẹ, con, vợ, chồng).

Thông tin về tài khoản số của cá nhân.

Các thông tin khác gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể, và không thuộc danh mục dữ liệu cá nhân nhạy cảm.

Bên cạnh đó, điều 4 Nghị định 356/2025 nêu rõ dữ liệu cá nhân nhạy cảm, gồm:

Dữ liệu tiết lộ nguồn gốc chủng tộc, nguồn gốc dân tộc.

Quan điểm về chính trị, tôn giáo, tín ngưỡng.

Thông tin về đời sống riêng tư, bí mật cá nhân, bí mật gia đình.

Tình trạng sức khỏe.

Dữ liệu sinh trắc học, đặc điểm di truyền.

Dữ liệu tiết lộ đời sống tình dục, xu hướng tình dục của cá nhân.

Dữ liệu về tội phạm, vi phạm pháp luật được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật.

Vị trí của cá nhân được xác định qua dịch vụ định vị.

Thông tin tên đăng nhập và mật khẩu truy cập tài khoản định danh điện tử của cá nhân; hình ảnh thẻ căn cước, thẻ căn cước công dân, chứng minh nhân dân.

Tên đăng nhập, mật khẩu truy cập của tài khoản ngân hàng; thông tin thẻ ngân hàng, dữ liệu về lịch sử giao dịch của tài khoản ngân hàng; thông tin tài chính, tín dụng và các thông tin về hoạt động, lịch sử giao dịch tài chính, chứng khoán, bảo hiểm của khách hàng tại các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, chứng khoán, bảo hiểm, các tổ chức được phép khác.

Dữ liệu theo dõi hành vi, hoạt động sử dụng dịch vụ viễn thông, mạng xã hội, dịch vụ truyền thông trực tuyến và các dịch vụ khác trên không gian mạng.

Dữ liệu cá nhân khác được pháp luật quy định cần giữ bí mật hoặc cần có biện pháp bảo mật chặt chẽ.

Theo Nghị định 356/2025, bên kiểm soát dữ liệu cá nhân muốn xử lý dữ liệu thì phải có sự đồng ý bằng của chủ thể dữ liệu bằng một trong các hình thức, như: "văn bản; ghi âm; cú pháp đồng ý qua tin nhắn; ứng dụng có thiết lập kỹ thuật xin sự đồng ý; email...".

Đối với các thiết lập mặc định sẵn có phải đảm bảo nguyên tắc bảo vệ dữ liệu cá nhân, tôn trọng các quyền của chủ thể dữ liệu cá nhân, bao gồm quyền đồng ý hoặc không đồng ý xử lý dữ liệu cá nhân của họ theo luật Bảo vệ dữ liệu cá nhân.

"Đối với việc xin sự đồng ý xử lý dữ liệu cá nhân nhạy cảm, chủ thể dữ liệu phải được thông báo rằng dữ liệu cần xử lý là dữ liệu cá nhân nhạy cảm", Nghị định 365/2025 quy định rõ.