Hiện nay, nhiều ứng dụng và thiết bị công nghệ có thể thu thập vị trí người dùng mà chúng ta không hề biết. Điều này làm gia tăng nguy cơ lộ thông tin cá nhân và xâm phạm quyền riêng tư. Vậy dữ liệu vị trí cá nhân là gì, được pháp luật bảo vệ ra sao và khi xảy ra vi phạm thì trách nhiệm thuộc về ai? Hãy cùng tìm hiểu quy định pháp luật hiện hành về bảo vệ dữ liệu vị trí cá nhân trong bài viết dưới đây.
1. Dữ liệu vị trí cá nhân là gì
Theo Điều 31 Luật Bảo vệ dữ liệu cá nhân 2025 quy định dữ liệu vị trí cá nhân là dữ liệu được xác định thông qua công nghệ định vị nhằm xác định vị trí và nhận diện một con người cụ thể. Các dữ liệu này có thể được thu thập thông qua GPS, điện thoại di động, ứng dụng, wifi hoặc các thiệt bị công nghệ khác.
“…
Điều 31. Bảo vệ dữ liệu cá nhân đối với dữ liệu vị trí cá nhân, dữ liệu sinh trắc học
1. Dữ liệu vị trí cá nhân là dữ liệu được xác định thông qua công nghệ định vị để biết vị trí và giúp xác định con người cụ thể.
2. Dữ liệu sinh trắc học là dữ liệu về thuộc tính vật lý, đặc điểm sinh học cá biệt và ổn định của một người để xác định người đó.
3. Việc bảo vệ dữ liệu cá nhân đối với dữ liệu vị trí cá nhân được quy định như sau:
a) Không áp dụng việc theo dõi định vị qua thẻ nhận dạng tần số vô tuyến và các công nghệ khác, trừ trường hợp có sự đồng ý của chủ thể dữ liệu cá nhân hoặc trường hợp có yêu cầu của cơ quan có thẩm quyền theo quy định của pháp luật hoặc trường hợp pháp luật có quy định khác;
b) Tổ chức, cá nhân cung cấp nền tảng ứng dụng di động phải thông báo cho người sử dụng về việc sử dụng dữ liệu vị trí cá nhân; có biện pháp ngăn chặn việc thu thập dữ liệu vị trí cá nhân của tổ chức, cá nhân không liên quan; cung cấp cho người sử dụng các tùy chọn theo dõi vị trí cá nhân.
4. Việc bảo vệ dữ liệu sinh trắc học quy định như sau:
a) Cơ quan, tổ chức, cá nhân thu thập và xử lý dữ liệu sinh trắc học phải có biện pháp bảo mật vật lý đối với thiết bị lưu trữ và truyền tải dữ liệu sinh trắc học của mình; hạn chế quyền truy cập vào dữ liệu sinh trắc học; có hệ thống theo dõi để phòng ngừa, phát hiện hành vi xâm phạm dữ liệu sinh trắc học; tuân thủ quy định của pháp luật và tiêu chuẩn quốc tế có liên quan;
b) Trường hợp xử lý dữ liệu sinh trắc học gây thiệt hại cho chủ thể dữ liệu cá nhân thì tổ chức, cá nhân thu thập và xử lý dữ liệu sinh trắc học phải thông báo cho chủ thể dữ liệu cá nhân đó theo quy định của Chính phủ.
…”
Như vậy, từ quy định trên có thể hiểu là dữ liệu vị trí cá nhân là thông tin định vị được tạo ra từ công nghệ nhằm xác định vị trí của một cá nhân trong thực tế.
2. Trách nhiệm khi xảy ra sự cố vi phạm dữ liệu vị trí cá nhân
Theo Điều 29 Nghị định 356/2025/NĐ-CP quy định, khi xảy ra sự cố vi phạm dữ liệu cá nhân liên quan đến dữ liệu vị trí cá nhân bên kiểm soát dữ liệu cá nhân hoặc bên kiểm soát và xử lý phải thực hiện nhiều trách nhiệm nhằm bảo vệ quyền và lợi ích của chủ thể dữ liệu:
“…
Điều 29. Thông báo vi phạm đối với dữ liệu vị trí cá nhân và dữ liệu sinh trắc học
1. Khi xảy ra sự cố vi phạm dữ liệu cá nhân liên quan đến dữ liệu vị trí hoặc dữ liệu sinh trắc học, bên kiểm soát dữ liệu cá nhân hoặc bên kiểm soát và xử lý dữ liệu cá nhân có trách nhiệm:
a) Thông báo cho chủ thể dữ liệu bị ảnh hưởng trong thời hạn không quá 72 giờ kể từ thời điểm phát hiện vi phạm;
b) Báo cáo cho cơ quan nhà nước có thẩm quyền theo quy định tại Điều 28 Nghị định này;
c) Ghi nhận, lưu trữ và cập nhật hồ sơ vi phạm phục vụ công tác thanh tra, kiểm tra và xử lý. Tổ chức phải lưu hồ sơ vi phạm trong thời gian tối thiểu 5 năm kể từ ngày khắc phục xong sự cố.
2. Thông báo cho chủ thể dữ liệu theo điểm a khoản 1 Điều này phải bao gồm tối thiểu các nội dung sau:
a) Thời điểm và hình thức phát hiện vi phạm;
b) Loại dữ liệu bị ảnh hưởng (vị trí, sinh trắc học hoặc cả hai);
c) Mức độ nghiêm trọng và các rủi ro có thể xảy ra đối với quyền và lợi ích hợp pháp của chủ thể dữ liệu;
d) Biện pháp đã, đang và sẽ được thực hiện để khắc phục sự cố và giảm thiểu thiệt hại;
đ) Hướng dẫn chủ thể dữ liệu thực hiện các biện pháp phòng ngừa, ngăn chặn tiếp theo;
e) Thông tin liên hệ của bộ phận, nhân sự bảo vệ dữ liệu cá nhân hoặc tổ chức, cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân; bộ phận tiếp nhận, xử lý sự cố dữ liệu cá nhân tại tổ chức.
2. Trường hợp tổ chức, cá nhân không thể thông báo cho tất cả chủ thể dữ liệu cá nhân bị ảnh hưởng trong thời hạn nêu tại khoản 1 Điều này vì lý do kỹ thuật hoặc khẩn cấp, phải thực hiện:
a) Thông báo công khai bằng phương tiện điện tử chính thức của tổ chức qua trang thông tin điện tử, ứng dụng;
b) Gửi thông báo cho chủ thể dữ liệu cá nhân liên quan ngay khi điều kiện kỹ thuật cho phép.
3. Trường hợp tổ chức, cá nhân không thực hiện thông báo đúng hạn hoặc cố tình trì hoãn, né tránh nghĩa vụ thông báo sẽ bị xem xét xử lý vi phạm theo quy định của pháp luật.
…”
Cụ thể, trong thời hạn không quá 72 giờ kể từ thời điểm phát hiện vi phạm, tổ chức hoặc cá nhân có trách nhiệm thông báo cho chủ thể dữ liệu bị ảnh hưởng và báo cáo cho cơ quan nhà nước có thẩm quyền theo quy định pháp luật.
Nội dung thông báo theo Điều 28 Nghị định 356/2025/NĐ-CP quy định.
Như vậy, pháp luật hiện hành đặt ra trách nhiệm khá chặt chẽ đối với tổ chức, cá nhân xử lý dữ liệu nhằm hạn chế rủi ro và bảo vệ dữ liệu vị trí cá nhân của người dùng.
3. Quyền và nghĩa vụ của chủ thế dữ liệu cá nhân
Theo Điều 4 Luật Bảo vệ dữ liệu cá nhân 2025 quy định, chủ thể dữ liệu cá nhân có nhiều quyền quan trọng nhằm bảo vệ thông tin cá nhân của mình trong quá trình thu thập và xử lý dữ liệu.
“…
Điều 4. Quyền và nghĩa vụ của chủ thể dữ liệu cá nhân
1. Quyền của chủ thể dữ liệu cá nhân bao gồm:
a) Được biết về hoạt động xử lý dữ liệu cá nhân;
b) Đồng ý hoặc không đồng ý, yêu cầu rút lại sự đồng ý cho phép xử lý dữ liệu cá nhân;
c) Xem, chỉnh sửa hoặc yêu cầu chỉnh sửa dữ liệu cá nhân;
d) Yêu cầu cung cấp, xóa, hạn chế xử lý dữ liệu cá nhân; gửi yêu cầu phản đối xử lý dữ liệu cá nhân;
đ) Khiếu nại, tố cáo, khởi kiện, yêu cầu bồi thường thiệt hại theo quy định của pháp luật;
e) Yêu cầu cơ quan có thẩm quyền hoặc cơ quan, tổ chức, cá nhân liên quan đến xử lý dữ liệu cá nhân thực hiện các biện pháp, giải pháp bảo vệ dữ liệu cá nhân của mình theo quy định của pháp luật.
2. Nghĩa vụ của chủ thể dữ liệu cá nhân bao gồm:
a) Tự bảo vệ dữ liệu cá nhân của mình;
b) Tôn trọng, bảo vệ dữ liệu cá nhân của người khác;
c) Cung cấp đầy đủ, chính xác dữ liệu cá nhân của mình theo quy định của pháp luật, theo hợp đồng hoặc khi đồng ý cho phép xử lý dữ liệu cá nhân của mình;
d) Chấp hành pháp luật về bảo vệ dữ liệu cá nhân và tham gia phòng, chống hoạt động xâm phạm dữ liệu cá nhân.
3. Chủ thể dữ liệu cá nhân khi thực hiện quyền và nghĩa vụ của mình phải tuân thủ đầy đủ các nguyên tắc sau đây:
a) Thực hiện theo quy định của pháp luật; tuân thủ nghĩa vụ của chủ thể dữ liệu cá nhân theo hợp đồng. Việc thực hiện quyền và nghĩa vụ của chủ thể dữ liệu cá nhân phải nhằm mục đích bảo vệ quyền, lợi ích hợp pháp của chính chủ thể dữ liệu cá nhân đó;
b) Không được gây khó khăn, cản trở việc thực hiện quyền, nghĩa vụ pháp lý của bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân, bên xử lý dữ liệu cá nhân;
c) Không được xâm phạm đến quyền, lợi ích hợp pháp của Nhà nước, cơ quan, tổ chức, cá nhân khác.
4. Cơ quan, tổ chức, cá nhân có trách nhiệm tạo điều kiện thuận lợi, không được gây khó khăn, cản trở việc thực hiện quyền và nghĩa vụ của chủ thể dữ liệu cá nhân theo quy định của pháp luật.
5. Khi nhận được yêu cầu của chủ thể dữ liệu cá nhân để thực hiện quyền của chủ thể dữ liệu cá nhân quy định tại khoản 1 Điều này, bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân phải kịp thời thực hiện trong thời hạn theo quy định của pháp luật.
Chính phủ quy định chi tiết khoản này.
…”
Cụ thể, cá nhân có quyền được biết về hoạt động xử lý dữ liệu cá nhân; quyền đồng ý hoặc không đồng ý cho phép xử lý dữ liệu; yêu cầu rút lại sự đồng ý; xem, chỉnh sửa hoặc yêu cầu chỉnh sửa dữ liệu cá nhân của mình. Ngoài ra, chủ thể dữ liệu còn có quyền yêu cầu xóa dữ liệu, hạn chế xử lý dữ liệu, phản đối việc xử lý dữ liệu cá nhân cũng như khiếu nại, tố cáo, khởi kiện và yêu cầu bồi thường thiệt hại khi quyền lợi bị xâm phạm.
Bên cạnh các quyền trên, pháp luật cũng quy định chủ thể dữ liệu cá nhân phải thực hiện một số nghĩa vụ như tự bảo vệ dữ liệu cá nhân của mình, tôn trọng và bảo vệ dữ liệu cá nhân của người khác, cung cấp thông tin đầy đủ và chính xác theo quy định pháp luật, đồng thời chấp hành các quy định về bảo vệ dữ liệu cá nhân.
Ngoài ra, việc thực hiện quyền và nghĩa vụ của chủ thể dữ liệu phải tuân thủ quy định pháp luật, không được gây cản trở hoạt động xử lý dữ liệu hợp pháp của tổ chức, cá nhân khác và không được xâm phạm quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân khác.
Như vậy, pháp luật hiện hành không chỉ bảo đảm quyền kiểm soát dữ liệu cá nhân cho người dân mà còn đặt ra trách nhiệm của mỗi cá nhân trong việc bảo vệ dữ liệu cá nhân và quyền riêng tư trên môi trường số.
Liên hệ Hãng Luật Anh Đào và Cộng sự:
📞 Hotline: 0932 049 492
📧 Email: gvndtb1992@gmail.com
🏢 Địa chỉ: 18B Nam Quốc Cang, Phường Bến Thành, TP.HCM
