Nghiên cứu - Trao đổi · Cẩm nang

DPIA là gì? Đánh giá tác động bảo vệ dữ liệu cá nhân - cẩm nang cho doanh nghiệp Việt Nam

DPIA (Data Protection Impact Assessment) là quy trình đánh giá có hệ thống nhằm xác định, phân tích và giảm thiểu rủi ro đối với quyền riêng tư khi tổ chức xử lý dữ liệu cá nhân có nguy cơ cao. Tại Việt Nam, DPIA được khuyến nghị tại Nghị định 13/2023/NĐ-CP và có thể tích hợp với Hồ sơ phân loại rủi ro AI theo Nghị định 142/2026/NĐ-CP - tiết kiệm đáng kể chi phí tuân thủ cho doanh nghiệp.

tI Ban Đào tạo ILED 08/05/2026 · 9 phút đọc

DPIA là gì?

DPIA (Data Protection Impact Assessment - Đánh giá tác động bảo vệ dữ liệu cá nhân) là quy trình đánh giá có hệ thống nhằm xác định, phân tích và giảm thiểu rủi ro đối với quyền và tự do của cá nhân khi tổ chức tiến hành các hoạt động xử lý dữ liệu cá nhân có nguy cơ cao.

DPIA bắt nguồn từ GDPR (Điều 35) của Liên minh Châu Âu và là yêu cầu bắt buộc trong nhiều khu vực pháp lý lớn. Tại Việt Nam, DPIA được khuyến nghị tại Nghị định 13/2023/NĐ-CP về Bảo vệ Dữ liệu Cá nhân, đặc biệt khi tổ chức sử dụng công nghệ mới hoặc xử lý dữ liệu nhạy cảm.

Khi nào doanh nghiệp cần làm DPIA?

DPIA là bắt buộc khi tổ chức:

Xử lý dữ liệu cá nhân của trên 1.000 chủ thể dữ liệu
Xử lý dữ liệu nhạy cảm (sức khỏe, sinh trắc học, tôn giáo, định hướng chính trị)
Sử dụng công nghệ mới (AI, Big Data, IoT) lần đầu trong quy trình xử lý dữ liệu
Theo dõi quy mô lớn (giám sát hành vi, định vị địa lý, nhận diện khuôn mặt)
Xử lý dữ liệu của trẻ em dưới 18 tuổi
Quyết định tự động ảnh hưởng đến quyền lợi cá nhân (chấm điểm tín dụng, sàng lọc CV)

Khuyến nghị thực hiện ngay cả khi không bắt buộc - vì DPIA giúp doanh nghiệp chủ động phát hiện rủi ro pháp lý trước khi triển khai.

Mục đích sử dụng DPIA

Nhận diện rủi ro tiềm ẩn trong hoạt động xử lý dữ liệu cá nhân
Bảo đảm tuân thủ các quy định pháp lý về bảo vệ dữ liệu (NĐ 13/2023, GDPR…)
Xây dựng cơ chế giảm thiểu và quản lý rủi ro hiệu quả
Tăng niềm tin của khách hàng, cổ đông, đối tác và cơ quan quản lý
Bằng chứng tuân thủ khi có thanh tra, kiểm tra của cơ quan nhà nước
Giảm chi phí khắc phục so với việc bị phát hiện vi phạm sau triển khai

6 bước thực hiện DPIA

Bước 1 - Xác định dự án cần DPIA

Sàng lọc các dự án/quy trình có dấu hiệu rủi ro cao theo các tiêu chí ở mục trên. Ưu tiên các dự án:

Sử dụng công nghệ mới (AI, sinh trắc học)
Xử lý dữ liệu nhạy cảm
Có quyết định tự động ảnh hưởng đến cá nhân
Quy mô lớn (trên 1.000 chủ thể dữ liệu)

Bước 2 - Mô tả chi tiết quy trình xử lý dữ liệu

Lập sơ đồ luồng dữ liệu (data flow diagram) gồm:

Nguồn dữ liệu: thu thập từ đâu (form đăng ký, API, bên thứ ba)
Mục đích xử lý: dùng để làm gì cụ thể
Đối tượng xử lý: ai trong tổ chức được tiếp cận
Thời hạn lưu trữ: giữ trong bao lâu
Bên thứ ba liên quan: chia sẻ với ai (vendor, đối tác)
Chuyển dữ liệu xuyên biên giới: có gửi ra nước ngoài không

Bước 3 - Đánh giá tác động đến quyền riêng tư

Phân tích từng rủi ro theo 2 chiều:

Chiều đánh giá	Câu hỏi
Khả năng xảy ra	Rủi ro này có thể xảy ra không? Tần suất ra sao?
Mức độ nghiêm trọng	Nếu xảy ra, hậu quả với chủ thể dữ liệu là gì?

Tính điểm rủi ro = Khả năng × Nghiêm trọng. Phân loại 3 nhóm: thấp, trung bình, cao.

Bước 4 - Xây dựng biện pháp kiểm soát

Cho mỗi rủi ro ở mức trung bình + cao, đề xuất biện pháp:

Kỹ thuật: mã hoá, ẩn danh hoá, phân quyền truy cập, audit log
Tổ chức: đào tạo nhân sự, ký NDA với vendor, quy trình duyệt yêu cầu
Pháp lý: hợp đồng xử lý dữ liệu với bên thứ ba, biểu mẫu đồng ý hợp lệ

Bước 5 - Báo cáo DPO hoặc cơ quan giám sát

Tại Việt Nam, doanh nghiệp:

Lưu trữ DPIA nội bộ suốt thời gian xử lý dữ liệu
Cung cấp khi có yêu cầu từ Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05) - Bộ Công an
Bổ nhiệm DPO (Data Protection Officer) cho tổ chức xử lý dữ liệu trên 100.000 chủ thể (theo dự thảo NĐ thay thế NĐ 13/2023)

Bước 6 - Theo dõi và cập nhật DPIA

DPIA không phải làm một lần xong. Phải cập nhật khi:

Thay đổi mục đích xử lý dữ liệu
Bổ sung loại dữ liệu mới
Thay đổi nhà cung cấp dịch vụ xử lý
Triển khai công nghệ mới (AI)
Có sự cố vi phạm dữ liệu
Khuyến nghị: rà soát DPIA định kỳ 6-12 tháng/lần

Lưu ý thực tiễn

Không xem DPIA như thủ tục hình thức. DPIA phải phản ánh thực tế kỹ thuật và vận hành của tổ chức, có sự tham gia của:

Pháp chế / Compliance
IT / Security
Phòng nghiệp vụ chủ quản dữ liệu
DPO (nếu có)

Sử dụng mẫu chuẩn theo hướng dẫn của cơ quan quản lý uy tín:

CNIL (Pháp): mẫu DPIA mã nguồn mở, có công cụ phần mềm miễn phí
ICO (UK): hướng dẫn DPIA chi tiết theo ngành
A05 (Việt Nam): hướng dẫn theo NĐ 13/2023 (đang cập nhật)

Ví dụ minh họa

Ví dụ cơ bản - TMĐT nhận diện khuôn mặt

Một doanh nghiệp thương mại điện tử dự kiến triển khai chương trình khách hàng thân thiết có chức năng nhận diện khuôn mặt để tự động đăng nhập tại cửa hàng.

DPIA chỉ ra 3 rủi ro chính:

Lộ dữ liệu sinh trắc nếu CSDL bị tấn công
Phân biệt đối xử nếu thuật toán nhận diện sai theo nhóm
Khách hàng không thực sự hiểu phạm vi sử dụng dữ liệu

Biện pháp: mã hoá template sinh trắc, xét nghiệm độ chính xác trên đa dạng nhóm dân số, biểu mẫu đồng ý rõ ràng có lựa chọn không tham gia.

Ví dụ nâng cao - Bệnh viện hồ sơ điện tử

Một bệnh viện áp dụng hệ thống lưu trữ hồ sơ bệnh án điện tử cần thực hiện DPIA định kỳ 6 tháng/lần để đánh giá:

Tính bảo mật của hệ thống
Tuân thủ Luật Khám bệnh, Chữa bệnh + NĐ 13/2023
Tương thích với chuẩn quốc tế HIPAA (nếu phục vụ bệnh nhân nước ngoài)
Cập nhật khi tích hợp AI hỗ trợ chẩn đoán

Tích hợp DPIA với Luật AI Việt Nam

Đây là điểm đặc biệt quan trọng cho doanh nghiệp dùng AI xử lý dữ liệu cá nhân.

Khoản 7 Điều 12 Nghị định 142/2026/NĐ-CP (hướng dẫn Luật AI) quy định: nhà cung cấp được sử dụng Hồ sơ DPIA theo NĐ 13/2023 để thay thế hoặc tích hợp làm thành phần của Hồ sơ phân loại rủi ro AI.

→ Doanh nghiệp đã có DPIA tiết kiệm đáng kể chi phí tuân thủ khi triển khai AI - không phải làm 2 hồ sơ riêng biệt cho cùng một quy trình xử lý dữ liệu.

Hồ sơ DPIA (NĐ 13/2023)	Hồ sơ phân loại rủi ro AI (NĐ 142/2026)
Tập trung vào quyền riêng tư cá nhân	Tập trung vào rủi ro hệ thống AI tổng thể
Bắt buộc khi xử lý dữ liệu nhạy cảm / quy mô lớn	Bắt buộc cho AI rủi ro trung bình + cao
Lưu nội bộ	Thông báo qua Cổng thông tin một cửa AI
Có thể dùng làm thành phần của Hồ sơ AI	-

Bài học từ vi phạm thực tế

Một startup tại Hà Nội triển khai camera AI giám sát văn phòng mà không thực hiện DPIA, bị cơ quan quản lý phạt do vi phạm quyền riêng tư nhân viên.

Sai lầm:

Không đánh giá tác động trước khi triển khai
Không có biểu mẫu đồng ý từ nhân viên
Không có cơ chế minh bạch về phạm vi giám sát

Khắc phục:

Thực hiện DPIA bổ sung
Bổ sung biểu mẫu đồng ý
Lắp biển cảnh báo "Khu vực có camera AI" tại điểm đặt camera
Giới hạn dữ liệu lưu trữ 7 ngày, chỉ trích xuất khi có sự cố

Kết quả: được phép tiếp tục dự án sau khi điều chỉnh.

ILED hỗ trợ gì?

ILED tư vấn doanh nghiệp toàn diện về DPIA và bảo vệ dữ liệu cá nhân, gồm:

Rà soát hệ thống xử lý dữ liệu - lập sơ đồ luồng dữ liệu, xác định rủi ro
Soạn thảo Hồ sơ DPIA theo chuẩn NĐ 13/2023 + GDPR (nếu phục vụ thị trường EU)
Tích hợp DPIA với Hồ sơ phân loại rủi ro AI theo NĐ 142/2026
Đào tạo nội bộ về quyền riêng tư và bảo vệ dữ liệu cho nhân sự pháp chế + IT
Hỗ trợ ứng phó sự cố vi phạm dữ liệu - báo cáo trong 72 giờ theo quy định

Liên hệ Ban Đào tạo ILED:

Hotline: 0937 855 682
Email: daotao@phapluatgiaoduc.org.vn
Hoặc qua trang Liên hệ - gửi yêu cầu qua form trực tuyến

Doanh nghiệp đang triển khai dự án có yếu tố AI + dữ liệu cá nhân nên thực hiện DPIA trước khi đưa vào sử dụng để đảm bảo tuân thủ và tránh rủi ro pháp lý sau này.

Nguồn bài viết

Nội dung được ILED biên tập và đối chiếu từ Tham khảo nội dung từ Từ điển Quản lý FMIT. Quan điểm và đánh giá ở phần "Quan điểm ILED" thuộc về Viện ILED.

Xem bài gốc

Lưu ý

Bài viết là tổng hợp — phân tích của ILED, mang tính tham khảo. Để áp dụng cho tình huống cụ thể, vui lòng liên hệ Phòng Tư vấn ILED qua hotline 1900 9233.

Chia sẻ: