Số CCCD và CMND: Tại Sao Giấy Tờ Tùy Thân Phổ Biến Nhất Lại Là Rủi Ro Tuân Thủ Lớn Nhất
Mọi doanh nghiệp có nhân viên tại Việt Nam đều có số CCCD trong hệ thống. Chúng được thu thập khi tuyển dụng, tham chiếu trong bảng lương, đính kèm hợp đồng và sao chép vào bảng tính. Hầu hết doanh nghiệp không biết có bao nhiêu bản sao, chúng nằm ở đâu, hay ai có thể truy cập.
Theo Luật BVDLCN (Luật 91/2025/QH15) và Nghị định 356, số Căn cước công dân — cả định dạng CCCD hiện tại và CMND cũ — được phân loại là dữ liệu cá nhân nhạy cảm. Xử lý sai không chỉ là lỗ hổng chính sách. Đó là rủi ro pháp lý.
CCCD và CMND Là Gì?
CCCD (Căn cước công dân) là giấy tờ tùy thân quốc gia chính của Việt Nam, được cấp cho mọi công dân từ 14 tuổi. Nó chứa số định danh 12 chữ số duy nhất. CMND (Chứng minh nhân dân) cũ hơn sử dụng định dạng 9 chữ số và đang được thay thế dần, nhưng nhiều hồ sơ vẫn tham chiếu số CMND.
Cả hai định dạng đều được coi là số định danh cá nhân theo Nghị định 356 và chịu sự bảo vệ của Luật BVDLCN dành cho dữ liệu cá nhân nhạy cảm.
Tại Sao Số CCCD Có Rủi Ro Cao
Số CCCD có tính định danh duy nhất. Khác với tên hay số điện thoại, mỗi số CCCD ánh xạ một-một đến một cá nhân cụ thể. Việc lộ số này — kết hợp với tên hoặc thông tin nhận dạng khác — có thể dẫn đến gian lận danh tính, truy cập tài khoản trái phép và các thiệt hại khác.
Theo Luật BVDLCN, dữ liệu cá nhân nhạy cảm yêu cầu bảo vệ tăng cường: kiểm soát truy cập nghiêm ngặt hơn, đồng ý rõ ràng cho việc xử lý, và các yêu cầu tài liệu bổ sung.
Số CCCD Xuất Hiện Trong Google Workspace Như Thế Nào
Các con đường phổ biến nhất rất đời thường. Không ai cố tình tạo ra vấn đề tuân thủ — nó xảy ra qua các quy trình kinh doanh thông thường.
Nhập Việc HR
Nhân viên mới nộp bản sao CCCD khi làm thủ tục tuyển dụng. Những bản scan này thường:
- Được tải lên thư mục HR chia sẻ trên Google Drive
- Được gửi email đến nhân viên HR dưới dạng tệp đính kèm
- Được sao chép vào danh sách kiểm tra nhập việc trên Google Sheets
Xử Lý Lương
Bảng tính lương thường bao gồm số CCCD cùng tên nhân viên, số tài khoản ngân hàng và thông tin lương. Những file này có thể được chia sẻ với đội kế toán, nhà cung cấp dịch vụ lương thuê ngoài, hoặc ban lãnh đạo — thường với quyền truy cập rộng.
Quản Lý Hợp Đồng
Hợp đồng lao động mặc định tham chiếu số CCCD. Khi hợp đồng được lưu dưới dạng PDF trong Drive, số CCCD được nhúng trong tài liệu có thể truy cập và có thể được chia sẻ rộng hơn dự định.
Yêu Cầu Phát Sinh
Hồ sơ nộp cho cơ quan nhà nước, đăng ký bảo hiểm và kê khai thuế thường yêu cầu số CCCD. Nhân viên có thể gửi số CCCD qua Gmail cho người đang xử lý giấy tờ. Những email này tồn tại trong hộp thư vô thời hạn.
Luật BVDLCN Yêu Cầu Gì
Đối với dữ liệu cá nhân nhạy cảm như số CCCD, Luật BVDLCN và Nghị định 356 yêu cầu:
Đồng ý rõ ràng. Chủ thể dữ liệu phải đồng ý cụ thể cho việc xử lý số CCCD theo mục đích đã nêu. Mẫu đồng ý lao động chung có thể không đủ.
Giới hạn mục đích. Số CCCD chỉ được thu thập và sử dụng cho mục đích cụ thể, hợp pháp. Lưu giữ trong bảng tính "để tham khảo" vượt quá mục đích ban đầu là vi phạm yêu cầu này.
Hạn chế truy cập. Chỉ những cá nhân cần số CCCD cho chức năng công việc cụ thể mới được phép truy cập. Thư mục Drive chia sẻ cho toàn bộ phòng ban không đáp ứng tiêu chuẩn này.
Lưu trữ an toàn. Dữ liệu CCCD phải được lưu trữ với biện pháp bảo vệ kỹ thuật phù hợp. Google Sheets không mã hóa và không có kiểm soát truy cập không đủ điều kiện.
Xóa khi không còn cần thiết. Sau khi mục đích thu thập số CCCD đã hoàn thành, dữ liệu phải được xóa trừ khi có yêu cầu lưu giữ theo pháp luật.
Các Bước Thực Tế Cho Doanh Nghiệp
1. Tìm Mọi Bản Sao
Quét Google Workspace để xác định mọi file chứa mẫu số CCCD hoặc CMND. Bao gồm tài liệu Drive, Sheets, tệp đính kèm email và nội dung Gmail. Bạn không thể quản lý những gì chưa kiểm kê.
2. Tập Trung và Hạn Chế
Nếu có thể, tập trung dữ liệu CCCD vào một vị trí duy nhất có kiểm soát truy cập thay vì để các bản sao lan rộng khắp thư mục Drive và chuỗi email. Hạn chế truy cập ở mức tối thiểu cho những người thực sự cần.
3. Dọn Dẹp Dữ Liệu Lịch Sử
Rà soát các file và email cũ chứa dữ liệu CCCD không còn cần thiết. Số CCCD của nhân viên đã nghỉ việc không nên nằm trong bảng tính chia sẻ vô thời hạn. Thiết lập lịch lưu giữ và thực thi.
4. Cải Thiện Quy Trình Nhập Việc
Cập nhật quy trình nhập việc HR để tránh tạo bản sao CCCD không cần thiết. Nếu cần bản scan, đảm bảo nó đi vào thư mục hạn chế — không phải shared drive chung. Ngừng nhận bản sao CCCD qua email.
5. Rà Soát Cài Đặt Chia Sẻ
Với mọi file chứa dữ liệu CCCD, xác minh chia sẻ chỉ giới hạn cho cá nhân cụ thể được chỉ định. Xóa quyền "Bất kỳ ai có liên kết" và "Mọi người trong tổ chức". Tắt tải xuống nếu có thể.
Bắt Đầu Bằng Quét
Bước đầu tiên là biết dữ liệu CCCD tồn tại ở đâu trong Google Workspace. Không có tầm nhìn đó, mọi biện pháp tuân thủ khác đều là phỏng đoán.
CompliScan nhận dạng PII Việt Nam — bao gồm mẫu số CCCD và CMND — trên toàn bộ Google Workspace. Quét chỉ đọc của chúng tôi bao phủ Drive, Gmail, Sheets và Docs, cung cấp báo cáo rủi ro chi tiết trong vòng 48 giờ. Yêu cầu đánh giá rủi ro miễn phí →
Bài viết này chỉ mang tính thông tin và không cấu thành tư vấn pháp lý. Vui lòng tham khảo ý kiến luật sư có chuyên môn cho tình huống cụ thể của doanh nghiệp bạn.
Bài Viết Liên Quan
Hạn Chót 1/7/2026: Những Điều Mọi Doanh Nghiệp Tại Việt Nam Cần Biết Về Hợp Đồng Lao Động Điện Tử
Nghị định 337 yêu cầu tất cả người sử dụng lao động tại Việt Nam phải chuyển sang hợp đồng lao động điện tử trước ngày 1/7/2026. Dưới đây là những gì pháp luật yêu cầu, đối tượng nào bị ảnh hưởng và ba bước bạn cần thực hiện ngay bây giờ.
Luật BVDLCN Việt Nam: Những Điều Doanh Nghiệp FDI Cần Biết
Luật Bảo vệ Dữ liệu Cá nhân (Luật 91/2025/QH15) đặt ra yêu cầu vượt xa GDPR. Dưới đây là những gì doanh nghiệp có vốn đầu tư nước ngoài cần thực hiện — bao gồm đăng ký chuyển giao dữ liệu xuyên biên giới, DPIA theo mẫu Việt Nam và các danh mục dữ liệu đặc thù.