Đừng đùa với dữ liệu sinh trắc học người dùng

Một khi bị thu thập, sử dụng hoặc bị đánh cắp, cá nhân người sở hữu gần như không có khả năng “thu hồi” hay “đặt lại” các đặc điểm sinh học của mình.

Chính vì vậy, nhiều hệ thống pháp luật trên thế giới, trong đó có Việt Nam đã xem dữ liệu sinh trắc học là dữ liệu cá nhân nhạy cảm và đặt ra các yêu cầu bảo vệ nghiêm ngặt.

Thời thu thập dữ liệu sinh trắc học dễ dàng và thờ ơ, xem như bình thường trong việc xử lý và lưu trữ dữ liệu sinh trắc học người dùng của các doanh nghiệp tại Việt Nam nay buộc phải chấm dứt.

Tại Việt Nam, khung pháp lý mới ban hành và có hiệu lực từ ngày 1-1-2026 về bảo vệ dữ liệu cá nhân gồm Luật Bảo vệ dữ liệu cá nhân 2025 (Luật BVDLCN) và Nghị định 356/2025/NĐ-CP của Chính phủ quy định chi tiết và biện pháp thi hành Luật BVDLCN đã chính thức đưa dữ liệu sinh trắc học(1) vào nhóm dữ liệu nhạy cảm và cần bảo vệ ở mức cao nhất.

Doanh nghiệp phải thay đổi

Khi dữ liệu sinh trắc học - bao gồm nhận dạng khuôn mặt, vân tay, mống mắt, giọng nói - đã được xếp vào nhóm dữ liệu nhạy cảm, buộc doanh nghiệp, tổ chức phải thực hiện hàng loạt các biện pháp kỹ thuật và pháp lý để tuân thủ và bảo đảm sự an toàn cho dữ liệu này. Bên cạnh các nghĩa vụ cơ bản mà tổ chức thu thập và xử lý dữ liệu cá nhân (DLCN) phải tuân thủ như bảo đảm các quyền của chủ thể DLCN, thực hiện biện pháp quản lý, kỹ thuật phù hợp để bảo vệ DLCN. Luật BVDLCN yêu cầu các cơ quan, tổ chức, cá nhân thu thập và xử lý dữ liệu sinh trắc học phải thực hiện thêm các nghĩa vụ khác sau đây:

Yêu cầu về quản trị nội bộ. Khi xử lý loại dữ liệu này, cơ quan, tổ chức phải thiết lập các quy định về phân quyền, giới hạn quyền truy cập, xây dựng quy trình xử lý và áp dụng các biện pháp bảo mật chuyên biệt. Khi chuyển giao dữ liệu sinh trắc học, tổ chức bắt buộc phải áp dụng các biện pháp mã hóa, ẩn danh hoặc khử định danh trước khi chuyển ra ngoài hoặc cho đơn vị khác.

Yêu cầu báo cáo sự cố. Trong trường hợp xảy ra sự cố rò rỉ hoặc mất dữ liệu sinh trắc học, tổ chức có trách nhiệm thông báo cho Cơ quan chuyên trách bảo vệ dữ liệu cá nhân của Bộ Công an trong vòng 72 giờ kể từ khi phát hiện. Đồng thời tổ chức cũng phải thông báo cho chủ thể dữ liệu về hành vi vi phạm ảnh hưởng đến dữ liệu sinh trắc học của họ, trừ trường hợp gặp khó khăn kỹ thuật khẩn cấp có thể thông báo công khai sau.

Yêu cầu đối với doanh nghiệp nhỏ và vừa. Mặc dù các doanh nghiệp nhỏ, siêu nhỏ và startup có quyền lựa chọn chưa thực hiện một số quy định về nhân sự và công nghệ bảo vệ dữ liệu trong năm năm đầu tiên, nhưng quyền này không áp dụng nếu họ trực tiếp xử lý dữ liệu sinh trắc học.

Trong thực tế, các vụ kiện do vi phạm dữ liệu sinh trắc học của người dùng trên thế giới là không hiếm. Vụ kiện tập thể Patel v. Facebook, Inc. phát sinh từ việc Facebook triển khai tính năng “Tag Suggestions” (gợi ý gắn thẻ) từ năm 2010 là một ví dụ điển hình cho loại tranh chấp do vi phạm dữ liệu này. Để vận hành tính năng gợi ý gắn thẻ, Facebook đã tự động quét ảnh người dùng, trích xuất các đặc điểm hình học khuôn mặt (khoảng cách giữa mắt, mũi, tai…) và tạo ra “mẫu khuôn mặt” nhằm so khớp với cơ sở dữ liệu có sẵn(2).

Tranh chấp pháp lý phát sinh khi Facebook đã thu thập và lưu trữ dữ liệu sinh trắc học của người dùng tại bang Illinois, Mỹ mà không có thông báo và sự đồng ý bằng văn bản, vi phạm Đạo luật Bảo mật Thông tin Sinh trắc học Illinois (The Biometric Information Privacy Act - BIPA) năm 2008. BIPA yêu cầu doanh nghiệp phải công khai chính sách lưu trữ và hủy dữ liệu sinh trắc học, chỉ được thu thập dữ liệu sinh trắc học khi đã thông báo rõ mục đích, thời hạn và có sự đồng ý bằng văn bản của người dùng, và đồng thời cho phép cá nhân khởi kiện trực tiếp và yêu cầu bồi thường định sẵn từ 1.000-5.000 đô la Mỹ cho mỗi vi phạm.

Vụ kiện đạt được thỏa thuận tại tòa, Facebook buộc phải chấp nhận hòa giải với cái giá 650 triệu đô la Mỹ, đồng thời phải thực hiện hàng loạt cam kết với cơ quan quản lý như chuyển sang cơ chế “opt-in” - chỉ thu thập khi người dùng đồng ý, xóa các mẫu khuôn mặt không được cho phép, thực hiện việc tăng cường minh bạch về xử lý dữ liệu sinh trắc học.

Có thể có những tương tự “Patel v. Facebook” ở Việt Nam?

Trước đây, Facebook cũng triển khai tính năng nhận dạng khuôn mặt tại thị trường Việt Nam. Nhưng may mắn ở thời điểm đó, vấn đề bảo vệ dữ liệu cá nhân, đặc biệt là dữ liệu sinh trắc học tại Việt Nam chưa được quan tâm đúng mực. Tuy nhiên, ở thời điểm này khung pháp lý đã rõ ràng, nhận thức về quyền riêng tư của người dân Việt Nam đã khác trước nên nếu xảy ra hành vi vi phạm tương tự lúc này, hậu quả pháp lý có thể sẽ đảo ngược.

Với hàng loạt các trường hợp vi phạm tương tự Facebook, như không thông báo rõ ràng về việc thu thập dữ liệu sinh trắc học, không có cơ chế xin đồng ý rõ ràng, lưu trữ mẫu khuôn mặt trong thời gian dài, không cho người dùng quyền kiểm soát dữ liệu, lúc này doanh nghiệp có thể vi phạm hàng loạt nghĩa vụ theo Luật BVDLCN như (i). Vi phạm nghĩa vụ về sự đồng ý; (ii). Vi phạm nguyên tắc minh bạch; (iii) Vi phạm nguyên tắc giới hạn thời gian lưu trữ. Đây hoàn toàn là các vi phạm nghiêm trọng theo pháp luật Việt Nam và doanh nghiệp có thể phải chịu chế tài cao nhất.

Khác với Mỹ, Việt Nam chưa có cơ chế khởi kiện tập thể và chưa quy định mức bồi thường định sẵn cho mỗi vi phạm. Tuy nhiên, Luật BVDLCN vẫn mở ra nhiều con đường pháp lý cho bên bị vi phạm. Theo đó, cá nhân bị xâm phạm có thể khiếu nại, tố cáo đến cơ quan quản lý hoặc lựa chọn khởi kiện dân sự để yêu cầu chấm dứt hành vi vi phạm; xin lỗi, cải chính công khai; hoặc bồi thường thiệt hại cả vật chất và tinh thần. Bên cạnh đó, nếu việc xử lý dữ liệu trái phép gây hậu quả nghiêm trọng, doanh nghiệp có thể phải chịu trách nhiệm hình sự theo Bộ luật Hình sự.

Mặc dù cơ chế bồi thường tại Việt Nam chưa “mạnh tay” như pháp luật của các quốc gia phát triển, nhưng xu hướng tăng cường bảo vệ quyền riêng tư cho thấy rủi ro pháp lý đối với doanh nghiệp sẽ ngày càng lớn.

Để hoạt động của doanh nghiệp an toàn hơn

Dữ liệu sinh trắc học liên quan trực tiếp đến danh tính, thân thể và sự an toàn cá nhân. Việc xử lý dữ liệu này không chỉ là vấn đề công nghệ, pháp lý mà còn là vấn đề quyền con người. Do đó, doanh nghiệp không có cách nào khác ngoài việc thay đổi trong tư duy pháp lý và quản trị đối với dữ liệu sinh trắc học.

Doanh nghiệp không thể tiếp tục dựa vào các cơ chế “mặc định thu thập” rồi cho phép người dùng “tự tắt”. Sự đồng ý phải là chủ động, rõ ràng và có thể chứng minh. Doanh nghiệp phải xem bảo đảm an toàn đối với dữ liệu này là ưu tiên cao nhất bằng việc áp dụng hàng loạt các biện pháp từ xây dựng khung quản trị dữ liệu nội bộ, tăng cường bảo mật kỹ thuật cho đến việc hợp tác với các đơn vị chuyên trách về pháp lý, kỹ thuật để xây dựng phương án dự phòng và ứng phó việc rò rỉ dữ liệu này là việc hết sức cần thiết trong bối cảnh hiện nay. Khi sự phát triển như vũ bão của kỷ nguyên trí tuệ nhân tạo và dữ liệu lớn, dữ liệu sinh trắc học đang trở thành “vàng kỹ thuật số”. Nhưng đi kèm với giá trị kinh tế là rủi ro pháp lý cực lớn.

Dữ liệu sinh trắc học đang được xem như “chìa khóa vạn năng” duy nhất của mỗi cá nhân. Đây là những đặc điểm không thể thay đổi như thay đổi mật khẩu, nên pháp luật yêu cầu chiếc chìa khóa này phải được cất giữ trong một chiếc két sắt kiên cố nhất (mã hóa), có người canh gác chuyên nghiệp (nhân sự DPO) và bất kỳ một dấu hiệu đột nhập nào cũng phải báo ngay cho cảnh sát trong thời gian ngắn nhất (72 giờ). Mọi vi phạm đối với loại dữ liệu này được xem là vi phạm ở mức cao nhất và bị xử lý nghiêm khắc nhất. Điều này không chỉ cách thế giới ứng xử với loại dữ liệu này mà ngay cả Việt Nam sẽ áp dụng nếu có bất kỳ vi phạm nào xảy ra.

(*) Công ty Luật TNHH HM&P

(1) Khoản 2 điều 31 Luật BVDLCN

(1) https://jolt.law.harvard.edu/digest/patel-v-facebook-facebook-settles-illinois-biometric-information-privacy-act-bipa-violation-suit, truy cập lần cuối ngày 10-1-2026.

LS. Nguyễn Văn Phúc (*)