Nghị định 356/2025/NĐ-CP quy định chi tiết Luật Bảo vệ dữ liệu cá nhân

NGHỊ ĐỊNH

Quy định chi tiết một số điều và biện pháp thi hành

Luật Bảo vệ dữ liệu cá nhân

Căn cứ Luật Tổ chức Chính phủ số 63/2025/QH15;

Căn cứ Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15;

Căn cứ Luật Dữ liệu số 60/2024/QH15;

Căn cứ Luật sửa đổi, bổ sung một số điều của Luật Đấu thầu, Luật Đầu tư theo phương thức đối tác công tư, Luật Hải quan, Luật Thuế giá trị gia tăng, Luật Thuế xuất khẩu, thuế nhập khẩu, Luật Đầu tư, Luật Đầu tư công, Luật quản lý sử dụng tài sản công số 90/2025/QH15;

Theo đề nghị của Bộ trưởng Bộ Công an;

Chính phủ ban hành Nghị định quy định chi tiết một số điều và biện pháp thi hành Luật Bảo vệ dữ liệu cá nhân.

Chương I
QUY ĐỊNH CHUNG

Điều 1. Phạm vi điều chỉnh

Nghị định này quy định chi tiết khoản 2, khoản 3 Điều 2; khoản 5 Điều 4; khoản 3 Điều 6; khoản 5 Điều 9; khoản 3 Điều 17; khoản 7 Điều 20; khoản 7 Điều 21; khoản 4 Điều 22; khoản 5 Điều 23; khoản 3 Điều 27; khoản 6 Điều 30; điểm b khoản 4 Điều 31; khoản 3 Điều 33; Điều 35; khoản 4 Điều 38 Luật Bảo vệ dữ liệu cá nhân và quy định các biện pháp để tổ chức thi hành Luật về nghiên cứu, phát triển các giải pháp bảo vệ dữ liệu cá nhân, cơ quan chuyên trách bảo vệ dữ liệu cá nhân, cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân; trách nhiệm của các bộ, ngành, địa phương trong bảo vệ dữ liệu cá nhân; kinh phí bảo đảm hoạt động bảo vệ dữ liệu cá nhân.

Điều 2. Đối tượng áp dụng

1. Cơ quan, tổ chức, cá nhân Việt Nam;

2. Cơ quan, tổ chức, cá nhân nước ngoài tại Việt Nam;

3. Cơ quan, tổ chức, cá nhân nước ngoài trực tiếp tham gia hoặc có liên quan đến hoạt động xử lý dữ liệu cá nhân của công dân Việt Nam và người gốc Việt Nam chưa xác định được quốc tịch đang sinh sống tại Việt Nam đã được cấp giấy chứng nhận căn cước.

Điều 3. Danh mục dữ liệu cá nhân cơ bản

Dữ liệu cá nhân cơ bản bao gồm:

1. Họ, chữ đệm và tên khai sinh, tên gọi khác (nếu có);

2. Ngày, tháng, năm sinh; ngày, tháng, năm chết hoặc mất tích;

3. Giới tính;

4. Nơi sinh, nơi đăng ký khai sinh, nơi đăng ký thường trú, nơi đăng ký tạm trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ;

5. Quốc tịch;

6. Hình ảnh của cá nhân;

7. Số điện thoại, số định danh cá nhân, số hộ chiếu, số giấy phép lái xe, số biến số xe;

8. Tình trạng hôn nhân;

9. Thông tin về mối quan hệ gia đình (cha mẹ, con, vợ, chồng);

10. Thông tin về tài khoản số của cá nhân;

11. Các thông tin khác gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể không thuộc quy định tại Điều 4 Nghị định này.

Điều 4. Danh mục dữ liệu cá nhân nhạy cảm

1. Dữ liệu cá nhân nhạy cảm bao gồm:

a) Dữ liệu tiết lộ nguồn gốc chủng tộc, nguồn gốc dân tộc;

b) Quan điểm về chính trị, tôn giáo, tín ngưỡng;

c) Thông tin về đời sống riêng tư, bí mật cá nhân, bí mật gia đình;

d) Tình trạng sức khỏe;

đ) Dữ liệu sinh trắc học, đặc điểm di truyền;

e) Dữ liệu tiết lộ đời sống tình dục, xu hướng tình dục của cá nhân;

g) Dữ liệu về tội phạm, vi phạm pháp luật được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật;

h) Vị trí của cá nhân được xác định qua dịch vụ định vị;

i) Thông tin tên đăng nhập và mật khẩu truy cập tài khoản định danh điện tử của cá nhân; hình ảnh thẻ căn cước, thẻ căn cước công dân, chứng minh nhân dân;

k) Tên đăng nhập, mật khẩu truy cập của tài khoản ngân hàng; thông tin thẻ ngân hàng, dữ liệu về lịch sử giao dịch của tài khoản ngân hàng; thông tin tài chính, tín dụng và các thông tin về hoạt động, lịch sử giao dịch tài chính, chứng khoán, bảo hiểm của khách hàng tại các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, chứng khoán, bảo hiểm, các tổ chức được phép khác;

l) Dữ liệu theo dõi hành vi, hoạt động sử dụng dịch vụ viễn thông, mạng xã hội, dịch vụ truyền thông trực tuyến và các dịch vụ khác trên không gian mạng;

m) Dữ liệu cá nhân khác được pháp luật quy định cần giữ bí mật hoặc cần có biện pháp bảo mật chặt chẽ.

2. Trong quá trình xử lý dữ liệu cá nhân nhạy cảm, cơ quan, tổ chức phải thiết lập quy định phân quyền giới hạn truy cập, quy trình xử lý và các biện pháp bảo mật.