Luật bảo vệ dữ liệu cá nhân 2025 – So sánh NĐ13/2023 và GDPR

Chuyển đổi số và điện toán đám mây bùng nổ tại Việt Nam đang tạo đà phát triển nhưng cũng kéo theo thách thức lớn về bảo mật dữ liệu cá nhân. Theo số liệu từ Data Privacy Vietnam, EU đã xử phạt hơn 2.435 vụ vi phạm GDPR (tổng 6 tỷ EUR) trong giai đoạn 2018–2025, và riêng ở Việt Nam, 6 tháng đầu 2025 đã có tới 110 triệu hồ sơ cá nhân bị mua bán trái phép. Trước thực tế này, Luật Bảo vệ Dữ liệu Cá nhân 2025 (có hiệu lực từ 01/01/2026) ra đời nhằm siết chặt khung pháp lý (nâng cấp từ Nghị định 13/2023) và khắc phục hạn chế trước đó. Bài viết này sẽ so sánh sâu Luật 2025 với Nghị định 13/2023 và với tiêu chuẩn GDPR của EU, làm rõ phạm vi áp dụng, định nghĩa, quyền chủ thể, nghĩa vụ tổ chức, chuyển dữ liệu xuyên biên giới và chế tài. Mục tiêu là giúp lãnh đạo CNTT hiểu rõ khác biệt quan trọng để xây dựng chiến lược tuân thủ phù hợp, đồng thời gợi ý các giải pháp bảo mật thực tiễn nhằm tối ưu hạ tầng mà vẫn đảm bảo an toàn dữ liệu.

Khung pháp lý Việt Nam: từ NĐ 13/2023 đến Luật 2025

• Nghị định 13/2023: Có hiệu lực từ 01/07/2023, là văn bản đầu tiên quy định chi tiết về bảo vệ dữ liệu cá nhân tại Việt Nam. NĐ13 áp dụng cho “mọi tổ chức, cá nhân trong nước hoặc nước ngoài liên quan đến xử lý dữ liệu cá nhân tại VN (kể cả xử lý ở nước ngoài)”.
• Luật Bảo vệ dữ liệu 2025: Được Quốc hội thông qua ngày 26/6/2025, bắt đầu có hiệu lực từ 01/01/2026. Luật 2025 nâng cấp khung pháp lý lên cấp luật, mở rộng và làm rõ nhiều quy định. Ví dụ, Luật bổ sung quyền chủ thể (xem/chỉnh sửa, xóa, khiếu nại…) và quy định xử phạt nghiêm khắc (phạt đến 5% doanh thu). Theo EY, “hầu hết nội dung NĐ13 đã được cập nhật trong Luật mới, nên từ đây NĐ13 cần được đọc chung với Luật 2025” trong quá trình áp dụng.

Dù Luật 2025 bổ sung nhiều điểm mới (ví dụ chi tiết quyền được xóa, các điều khoản xử phạt, giám sát độc lập), nhưng NĐ13 vẫn còn giá trị hướng dẫn trong giai đoạn chuyển tiếp. Doanh nghiệp cần lưu ý các quy định mới và rà soát chính sách dữ liệu ngay từ bây giờ, bởi “chính sách GDPR của công ty cũng chưa đảm bảo tự động tuân thủ NĐ13”.

Phạm vi áp dụng

• Luật 2025 quy định áp dụng đối với dữ liệu cá nhân của công dân Việt Nam và người gốc Việt (đã có CCCD) đang sinh sống tại Việt Nam, do tổ chức, cá nhân Việt Nam hoặc tổ chức, cá nhân nước ngoài tại VN xử lý. Luật cũng áp dụng với tổ chức nước ngoài “trực tiếp tham gia hoặc liên quan” đến hoạt động xử lý dữ liệu của nhóm trên.
• NĐ13/2023 mở rộng hơn: ngoài các đối tượng trên, NĐ13 còn áp dụng với tổ chức Việt Nam hoạt động tại nước ngoài. Nghĩa là, doanh nghiệp Việt có chi nhánh ở nước ngoài vẫn bị điều chỉnh bởi NĐ13 nếu xử lý dữ liệu cá nhân. Luật 2025 thì không nêu khoản này, do chỉ tập trung bảo vệ người Việt tại VN.
• GDPR của EU quy định rộng hơn về đối tượng: áp dụng với bất kỳ tổ chức ở đâu xử lý dữ liệu của cá nhân tại EU, và cho công dân EU bất kể nơi xử lý. Luật Việt Nam thu hẹp phạm vi so với GDPR (chỉ áp dụng cho dữ liệu công dân Việt hoặc người gốc Việt tại VN), có thể gây bất ngờ cho DN quốc tế: “Luật VN năm 2025 có phạm vi ngoài lãnh thổ hẹp hơn NĐ13 trước đây”, chỉ nhắm tới nhóm đối tượng cụ thể, gây nhầm lẫn nếu chưa chú ý.

Như vậy, một doanh nghiệp đa quốc gia cần xác định rõ tập dữ liệu bị chi phối: tuân thủ GDPR không đồng nghĩa tự động tuân thủ Luật Việt Nam. KPMG nhấn mạnh “các công ty đã ban hành chính sách theo GDPR sẽ không đương nhiên được xem là tuân thủ NĐ13” và ngược lại. DN phải xem xét cả hai khung cùng lúc.

Định nghĩa dữ liệu cá nhân cơ bản và nhạy cảm

• NĐ13/2023: Xác định rõ dữ liệu cơ bản và dữ liệu nhạy cảm bằng cách liệt kê cụ thể từng mục (ví dụ họ tên, ngày sinh, số CMND, tình trạng hôn nhân… thuộc cơ bản; quan điểm chính trị, sức khỏe, di truyền, đời sống tình dục… thuộc nhạy cảm).
• Luật 2025: Định nghĩa tương tự nhưng “mở” hơn: chỉ quy định dữ liệu cá nhân bao gồm cơ bản và nhạy cảm, thuộc “danh mục do Chính phủ ban hành”. Luật giao Chính phủ chi tiết danh mục này (trước mắt có thể dùng danh mục của NĐ13). Theo Lexology, việc này tạo ra “định nghĩa luẩn quẩn” vì doanh nghiệp cần xem danh mục nhạy cảm để biết dữ liệu nào là cơ bản.
• GDPR: Định nghĩa dữ liệu cá nhân rất rộng (mọi thông tin có thể nhận dạng cá nhân) và gọi dữ liệu nhạy cảm là “special categories” (chính trị, sức khỏe, gen, sinh trắc học, đời sống tình dục… theo Điều 9). Về cơ bản, GDPR và khung VN liệt kê nhiều loại tương đồng (như chính trị, sức khỏe, v.v.), nhưng khác nhau ở cách trình bày. Ví dụ, GDPR không nhắc đến thông tin ngân hàng hay tài khoản như NĐ13, trong khi Luật VN thêm “dữ liệu khách hàng ngân hàng, thanh toán” vào danh mục nhạy cảm.

Nhìn chung, DN cần lưu ý Nghị định/Luật VN có danh mục chi tiết rất giống nhau với GDPR, chỉ khác biệt ở cách đóng gói: chỉ có Luật VN mới yêu cầu tuân thủ công bố danh mục đầy đủ sau khi có Nghị định hướng dẫn, tạo ra khoảng chờ để chính sách nội bộ có thể cần cập nhật.

Quyền chủ thể và nghĩa vụ doanh nghiệp

Quyền của người dùng: Cả NĐ13 và Luật 2025 đều quy định rộng các quyền của cá nhân (giống như GDPR) bao gồm:

• Được biết và được đồng ý/rút đồng ý: Cá nhân có quyền biết về xử lý dữ liệu của mình và tự do đồng ý (hay không) trước khi xử lý.
• Quyền truy cập, chỉnh sửa, xóa, hạn chế: Cá nhân được xem và yêu cầu sửa đổi dữ liệu cá nhân, hoặc yêu cầu bên kiểm soát xóa/hạn chế sử dụng dữ liệu nếu không còn cần thiết. Luật 2025 nhấn mạnh thêm quyền yêu cầu xóa và giới hạn xử lý rõ ràng hơn; quyền này trong GḌPR là quyền “được quên” (right to erasure) và “hạn chế xử lý”.
• Quyền khiếu nại, bồi thường: Cá nhân có quyền tố cáo, khởi kiện và yêu cầu bồi thường nếu dữ liệu của mình bị xâm phạm. Luật 2025 liệt kê tương tự, cho phép kiện đòi bồi thường khi tổn thất xảy ra.

Nghĩa vụ doanh nghiệp (kiểm soát dữ liệu):

• Chỉ định DPO / Nhân sự bảo vệ dữ liệu: Luật 2025 yêu cầu tổ chức phải có bộ phận, nhân sự bảo vệ dữ liệu hoặc mua dịch vụ bên ngoài. Tuy nhiên, Luật cho phép các doanh nghiệp nhỏ và startup được miễn thực hiện khoản này trong 5 năm đầu (tương tự NĐ13 miễn 2 năm cho DN nhỏ).
• Bảo mật, mã hóa và quản lý rủi ro: Cả hai khung pháp lý yêu cầu DN áp dụng biện pháp kỹ thuật – tổ chức để bảo vệ dữ liệu. Luật 2025 buộc lập báo cáo đánh giá tác động (DPIA) cho nhiều trường hợp, phân loại dữ liệu nhạy cảm, mã hóa dữ liệu quan trọng, và hỗ trợ Khóa bí mật.
• Thực thi nguyên tắc: DN phải đảm bảo dữ liệu thu thập đúng mục đích, đủ cần thiết, thời gian lưu không quá dài, đồng thời sẵn sàng xử lý khi cá nhân rút consent, yêu cầu xóa. Luật 2025 nhấn mạnh nguyên tắc phòng ngừa, tôn trọng quyền lợi của chủ thể và của quốc gia.
• Đánh giá tác động: Với mọi hoạt động xử lý dữ liệu mới hoặc chuyển ra nước ngoài, DN phải lập Hồ sơ Đánh giá tác động và gửi cho cơ quan chuyên trách trong vòng 60 ngày kể từ ngày đầu tiên xử lý dữ liệu. Luật quy định bổ sung kế hoạch cập nhật định kỳ (6 tháng) và bổ sung khi thông tin thay đổi.

Tóm lại, Luật 2025 và NĐ13 gần như đồng nhất về quyền chủ thể (tiếp cận, xóa, phản đối, v.v.) và yêu cầu doanh nghiệp bảo vệ dữ liệu, chỉ khác ở mức chi tiết và thời hạn áp dụng. Việc giải thích rõ quyền/xuất xứ dữ liệu còn đang được hoàn thiện trong Nghị định hướng dẫn.

Chuyển dữ liệu cá nhân xuyên biên giới

• Luật 2025 quy định điều kiện chuyển dữ liệu cá nhân của công dân Việt Nam ra nước ngoài: DN phải lập Hồ sơ Đánh giá tác động chuyển dữ liệu xuyên biên giới và gửi bản chính cho cơ quan chuyên trách bảo vệ dữ liệu trong 60 ngày kể từ ngày chuyển đầu tiên. Hồ sơ này chỉ lập một lần cho suốt quá trình hoạt động, nhưng có thể cập nhật nếu chính sách hay dữ liệu thay đổi. Cơ quan chuyên trách kiểm tra định kỳ (không quá 1 lần/năm) và có quyền yêu cầu ngưng chuyển nếu phát hiện rủi ro an ninh quốc gia. Có một số trường hợp loại trừ không cần thực hiện DPIA (ví dụ: cơ quan nhà nước có thẩm quyền, người lao động tự chuyển dữ liệu của mình, lưu trữ dữ liệu nhân viên trên đám mây).
• Nghị định 13/2023 trước đó cũng đưa ra quy định tương tự: DN lập Hồ sơ Đánh giá tác động theo mẫu, nộp cho Bộ Công an, và báo cáo trong vòng 10 ngày sau khi chuyển dữ liệu. NĐ13 cho phép Bộ Công an kiểm tra 1 lần/năm và yêu cầu bổ sung hồ sơ nếu chưa đầy đủ. Tóm lại, cả hai văn bản VN theo xu hướng hậu kiểm: DN tự lập hồ sơ DPIA và chủ động thông báo, cơ quan chức năng giám sát sau.
• GDPR (Chương V) thì khác biệt: GDPR đòi hỏi cơ sở pháp lý trước khi chuyển (ví dụ quyết định bảo đảm thích đáng như adequacy, các điều khoản mẫu SCC, hoặc cơ chế tương tự). GDPR không có chế độ nộp hồ sơ DPIA cho chính phủ, nhưng yêu cầu DN duy trì các công cụ bảo vệ – ví dụ Audit trails và báo cáo khi có vi phạm. Nhìn chung, quy định Việt Nam áp dụng một quy trình thông báo sau (post-authorization) khác với GDPR là phải có quy tắc bảo vệ trước. Điều này đồng nghĩa DN nội địa cần chuẩn bị sẵn sàng thủ tục và tài liệu liên quan để dễ dàng kiểm tra, thay vì tập trung vào phép chuyển và chứng nhận quốc tế.

Chế tài và xử phạt vi phạm

• Luật 2025 quy định khung xử phạt rất nghiêm. Theo ước tính, vi phạm việc chuyển dữ liệu ra nước ngoài hoặc vi phạm khác có thể bị phạt đến 5% doanh thu năm trước (nếu doanh thu cao) hoặc 3 tỷ VNĐ. Đặc biệt, các hành vi mua bán, thu thập dữ liệu cá nhân trái phép có thể bị phạt lên tới 10 lần khoản thu bất hợp pháp hoặc 3 tỷ VNĐ (tùy điều kiện nào lớn hơn). Các vi phạm cơ bản khác (không lập hồ sơ, không bảo vệ an toàn) có thể bị phạt tối đa 3 tỷ VNĐ.
• NĐ13/2023: Trước đây, NĐ13 chỉ quy định chung chung về trách nhiệm, chủ yếu giao Bộ Công an và Cục An ninh mạng xử lý. Mức phạt cụ thể phần lớn dựa vào Luật An ninh mạng và các quy định hiện hành. Khung phạt của NĐ13 không đề cập đến tỷ lệ doanh thu, nên mức phạt tối đa thường ở mức 3 tỷ VNĐ như các nghị định khác.
• GDPR: Cho ví dụ đối chiếu, GDPR cho phép phạt đến 4% tổng doanh thu toàn cầu hoặc 20 triệu EUR (tùy điều kiện nào lớn hơn). Luật Việt Nam áp dụng mô hình tương tự (phạt theo % doanh thu), cho thấy cam kết siết chặt.

Như vậy, DN Việt phải trang bị ngay để tránh rủi ro tài chính rất lớn. Pháp nhân vi phạm dữ liệu cá nhân có thể chịu thiệt hại kinh tế nặng nề; ví dụ Data Privacy Vietnam lưu ý mức phạt tối đa luật mới đưa ra rất cao, nhằm khuyến khích doanh nghiệp tuân thủ nghiêm ngặt.

So sánh điểm nổi bật với GDPR

Dù cùng mục tiêu bảo vệ quyền riêng tư, Luật VN 2025 và GDPR có một số khác biệt đáng lưu ý:

• Phạm vi và đối tượng: GDPR áp dụng cho dữ liệu cá nhân của bất kỳ cá nhân ở EU (và cả người ngoài EU nếu dữ liệu liên quan đến EU), trong khi Luật VN chỉ bảo vệ dữ liệu công dân Việt Nam và người gốc Việt trong nước. Doanh nghiệp nước ngoài xử lý dữ liệu người Việt cần xem xét riêng luật VN (nếu có hoạt động tại VN).
• Điều kiện hợp pháp khi chuyển dữ liệu: GDPR yêu cầu trước tiên phải có cơ sở pháp lý (ví dụ Biện pháp Bảo đảm Thích đ) trước khi transfer ra nước ngoài. Luật VN cho phép chuyển và sau đó báo cáo DPIA (hậu kiểm). Điều này có nghĩa compliance với GDPR (như sử dụng SCC) chưa chắc đã đáp ứng quy định VN; ngược lại, Luật VN đòi hỏi hồ sơ và thông báo riêng với cơ quan chức năng.
• Quy định về DPO (Data Protection Officer): GDPR chỉ bắt buộc DPO trong trường hợp xử lý dữ liệu đặc biệt quy mô lớn (cơ quan nhà nước, giám sát quy mô lớn, hoặc xử lý nhạy cảm thường xuyên). Luật 2025 ngặt nghèo hơn: hầu hết tổ chức phải chỉ định nhân sự/bộ phận bảo vệ dữ liệu, hoặc thuê dịch vụ chuyên môn. Tuy nhiên, Luật cho phép DN nhỏ và startup được miễn trừ trong 5 năm đầu, nhằm hỗ trợ khởi nghiệp. NĐ13 cũng miễn 2 năm cho DN nhỏ theo hướng tương tự. GDPR không có quy định nào miễn trừ rõ ràng cho DN nhỏ như vậy.
• Đánh giá tác động: Cả hai đều yêu cầu DPIA khi xử lý rủi ro cao. Có khác: Luật 2025 miễn trừ DPIA cho một số trường hợp (cơ quan nhà nước, dữ liệu nhân viên trên đám mây, người dân tự chuyển dữ liệu của chính mình), trong khi GDPR hầu như không miễn trừ cơ quan công quyền (thậm chí thường yêu cầu cao hơn cho vụ lớn). Nói cách khác, luật VN có một số ngoại lệ mang tính thực tiễn, GDPR đặt nặng nghĩa vụ cho tất cả tổ chức xử lý nhiều.
• Cân đối lợi ích và mục đích: GDPR cho phép dựa trên “lợi ích hợp pháp” với kiểm tra cân bằng (balance test) giữa lợi ích doanh nghiệp và quyền riêng tư cá nhân. Luật VN không xây dựng rõ khung cân bằng như vậy; thay vào đó, giới hạn quyền lợi (như quảng cáo, tín dụng) gắn với nguyên tắc bảo vệ quyền lợi quốc gia và dân sự. Chẳng hạn, Luật 2025 quy định cụ thể không được lập profile thẻ tín dụng của người dùng mà không xin phép, trong khi GDPR chỉ xem đó là phần của lợi ích hợp pháp.
• Chế tài: Cả hai khung đều áp dụng phạt theo tỉ lệ doanh thu nhưng mức cho phép của Luật VN cao hơn (5% vs 4% toàn cầu của GDPR). Điều này thể hiện sự nghiêm khắc tương đương, đặt DN trước nguy cơ tổn thất lớn nếu vi phạm.

Tóm tắt & Hướng dẫn tuân thủ

• Ghi nhớ các điểm mới của Luật 2025: bản chất là Luật (không còn chỉ là nghị định), cụ thể hóa quyền truy cập, xóa dữ liệu, tăng mức phạt, yêu cầu DPIA và nhân sự bảo vệ dữ liệu rõ ràng hơn.
• Ưu tiên đánh giá mức độ ảnh hưởng: DN nên vẽ bản đồ dữ liệu để xác định xem mình xử lý dữ liệu cá nhân nào thuộc phạm vi Luật mới (công dân Việt, Việt kiều có CCCD). Với dữ liệu nhạy cảm (ví dụ danh tính khách hàng ngân hàng theo quy định nội địa), cần tăng cường mã hóa, giới hạn truy cập.
• Chuẩn bị quy trình nội bộ: Điều chỉnh form thu thập và lưu trữ dữ liệu (ví dụ yêu cầu đồng ý rõ ràng, lưu lịch sử consent). Thiết lập cơ chế xử lý yêu cầu của cá nhân (truy cập, xóa dữ liệu). Dưới góc độ kỹ thuật, áp dụng mã hóa end-to-end, công nghệ IRM để đảm bảo quyền truy cập/từ chối tệp tin mọi lúc. Nếu đang tuân thủ GDPR, cần rà soát xem những “khoảng trống” giữa hai khung – ví dụ, GDPR không yêu cầu nộp hồ sơ DPIA cho chính phủ, nhưng Luật Việt Nam yêu cầu nộp cho cơ quan quản lý.
• Sử dụng giải pháp hỗ trợ: Để vừa đảm bảo an toàn vừa tối ưu chi phí, DN nên tận dụng các giải pháp hạ tầng và phần mềm chuyên dụng. Ví dụ, 689Cloud cung cấp dịch vụ SecureMail – một add-in mã hóa file đính kèm email dựa trên công nghệ IRM (Information Rights Management) – giúp chỉ người nhận được phép mới mở được tài liệu. Bên cạnh đó, các giải pháp quản lý dữ liệu và bảo mật khác (như IRM/DRM) của 689Cloud cho phép thiết lập quyền truy cập chi tiết, thu hồi quyền cho tệp đã gửi, đáp ứng các yêu cầu tuân thủ.
• Thử nghiệm & đào tạo: Nên tiến hành đánh giá thử (dry-run) trước khi Luật có hiệu lực để điều chỉnh kịp thời. Đào tạo nhân viên IT, phòng pháp chế về quy định mới, tổ chức kiểm tra bảo mật (thí nghiệm xâm nhập) để đảm bảo hệ thống hiện tại đủ mạnh.

Nhìn chung, Luật Bảo vệ dữ liệu VN 2025 đã tiến gần hơn tới tiêu chuẩn GDPR của EU nhưng vẫn giữ dấu ấn đặc thù (miễn trừ cho DN nhỏ, quy định chuyển dữ liệu hậu kiểm). Doanh nghiệp cả trong và ngoài nước cần chủ động cập nhật chính sách dữ liệu, bởi tuân thủ GDPR chưa chắc đã bảo đảm tuân thủ luật VN. Việc tìm kiếm đối tác công nghệ uy tín như 689Cloud – với chuyên môn đám mây và giải pháp bảo mật đã được chứng minh – là lựa chọn chiến lược giúp giảm thiểu rủi ro và chi phí tuân thủ. Ở tư cách nhà cung cấp giải pháp hạ tầng và an toàn dữ liệu, 689Cloud sẵn sàng tư vấn các gói SecureMail, IRM và hạ tầng đám mây an toàn, đáp ứng yêu cầu khắt khe từ Luật 2025.

FAQ

• Luật Bảo vệ dữ liệu cá nhân 2025 bắt đầu có hiệu lực từ khi nào?
  Luật được Quốc hội thông qua ngày 26/6/2025, có hiệu lực từ 01/01/2026. Trong 5 năm đầu, các doanh nghiệp nhỏ và startup được phép miễn thực hiện một số quy định về bảo vệ dữ liệu (như chỉ định DPO). NĐ13/2023 vẫn có hiệu lực cho đến khi Luật mới bắt đầu.
• Nghị định 13/2023 có thay đổi ra sao khi Luật 2025 ra đời?
  Theo phân tích của EY, “hầu hết điều khoản của NĐ13 đã được cập nhật trong Luật BVDLCN 2025, nên NĐ13 cần được đọc kết hợp với Luật mới”. NĐ13 sẽ có vai trò hướng dẫn thi hành Luật trong giai đoạn đầu. Doanh nghiệp cần rà soát song song hai văn bản: lấy Luật mới làm chuẩn mực, còn NĐ13 chi tiết hóa thủ tục. Ví dụ, NĐ13 quy định cụ thể cách lập hồ sơ DPIA, còn Luật giao Chính phủ ban hành (trong khi đang chờ thì thực hiện theo NĐ13).
• Các khái niệm “dữ liệu cá nhân cơ bản” và “nhạy cảm” khác nhau thế nào?
  Cả NĐ13 và Luật mới đều phân loại dữ liệu thành “cơ bản” và “nhạy cảm”. Điểm khác biệt là NĐ13 liệt kê từng nội dung chi tiết như họ tên, ngày sinh, số điện thoại… cho dữ liệu cơ bản, và danh sách nhạy cảm rõ ràng gồm tôn giáo, sức khỏe, di truyền, tín dụng…. Luật 2025 thì chỉ đưa ra khái niệm chung và giao Chính phủ ban hành danh mục cụ thể. Do đó, DN cần dựa vào danh mục hiện hành (được công bố kèm Nghị định hướng dẫn) để biết dữ liệu nào thuộc dạng nhạy cảm, từ đó áp dụng biện pháp bảo vệ tương xứng.
• Doanh nghiệp đã tuân thủ GDPR thì có cần làm gì thêm?
  Cần, vì khung VN không hoàn toàn trùng với GDPR. KPMG lưu ý rằng chính sách theo GDPR “sẽ không tự động tuân thủ theo Nghị định 13”. Tương tự, một DN tuân thủ GDPR vẫn phải bổ sung các quy định đặc thù của VN (ví dụ cơ chế DPIA/chuyển dữ liệu, quy định về thành phần dữ liệu ngân hàng trong danh mục nhạy cảm, khung phạt theo doanh thu…). Tóm lại, DN nên so sánh chéo hai khung, và cập nhật chính sách nội bộ để đáp ứng thêm các yêu cầu riêng biệt của Luật Việt Nam (như thông báo cho cơ quan bảo vệ dữ liệu, quy trình xử lý yêu cầu xóa của người dùng, v.v.).