Bài viết sử dụng phương pháp phân tích quy phạm (doctrinal analysis), phương pháp so sánh luật học (comparative law) và phương pháp phân tích quản trị số (digital governance analysis) nhằm đánh giá thực trạng thực thi pháp luật bảo vệ dữ liệu cá nhân tại Việt Nam trong mối tương quan với kinh nghiệm của Hoa Kỳ, Châu Âu, Singapore và Trung Quốc. Trên cơ sở đó, nghiên cứu lập luận rằng thách thức lớn nhất của Việt Nam không chỉ nằm ở khoảng trống pháp lý mà còn ở sự thiếu đồng bộ giữa quản trị dữ liệu, quản trị nền tảng số và năng lực thực thi thể chế trong môi trường số xuyên biên giới.
Bài viết đề xuất mô hình quản trị dữ liệu cá nhân dựa trên ba trụ cột gồm: bảo vệ quyền cơ bản của chủ thể dữ liệu, quản trị rủi ro dữ liệu theo vòng đời xử lý và cơ chế điều tiết thích ứng đối với nền tảng số và trí tuệ nhân tạo. Đồng thời, nghiên cứu kiến nghị hoàn thiện cơ chế thực thi Luật Bảo vệ dữ liệu cá nhân 2025 theo hướng xây dựng Cơ quan giám sát dữ liệu độc lập, áp dụng Đánh giá tác động dữ liệu (Data Protection Impact Assessment - DPIA), tăng cường trách nhiệm Giải trình thuật toán và thúc đẩy Xây dựng chủ quyền dữ liệu số quốc gia trong thời đại kinh tế số.
Ảnh minh họa. Nguồn: Internet.
1. Giới thiệu
Trong nền kinh tế số hiện đại, dữ liệu cá nhân không còn chỉ là thông tin nhận dạng cá nhân đơn thuần mà đã trở thành nguồn lực chiến lược có giá trị kinh tế, chính trị và an ninh đặc biệt lớn. Các nền tảng số, hệ thống trí tuệ nhân tạo và mô hình kinh doanh dữ liệu hiện nay đều vận hành dựa trên việc thu thập, xử lý, phân tích và thương mại hóa dữ liệu cá nhân ở quy mô lớn. Trong nhiều trường hợp, dữ liệu cá nhân được xem là “dầu mỏ mới” của nền kinh tế số (The Economist, 2017). Tuy nhiên, khác với tài nguyên truyền thống, dữ liệu cá nhân gắn trực tiếp với nhân phẩm, quyền con người và tự do cá nhân trong môi trường số.
Sự phát triển của công nghệ số đã làm xuất hiện nhiều rủi ro mới liên quan đến giám sát số hàng loạt, lộ lọt dữ liệu, đánh cắp danh tính, thao túng hành vi bằng thuật toán, phân biệt đối xử tự động hóa và xâm phạm quyền riêng tư trên không gian mạng. Các vụ việc bê bối hay các vụ rò rỉ dữ liệu quy mô lớn tại nhiều quốc gia cho thấy dữ liệu cá nhân đã trở thành trung tâm của cạnh tranh địa chính trị số và quản trị quyền lực nền tảng.
Trong bối cảnh đó, nhiều quốc gia đã chuyển từ mô hình bảo vệ quyền riêng tư truyền thống sang mô hình quản trị dữ liệu cá nhân toàn diện. Châu Âu ban hành GDPR năm 2016 với cách tiếp cận dựa trên quyền cơ bản và trách nhiệm giải trình dữ liệu. Trung Quốc ban hành Luật Bảo vệ thông tin cá nhân (Personal Information Protection Law - PIPL) nhằm kết hợp giữa bảo vệ dữ liệu với chủ quyền số quốc gia. Singapore ban hành Đạo luật Bảo vệ Dữ liệu Cá nhân của Singapore (Personal Data Protection Act - PDPA) với mô hình quản trị linh hoạt dựa trên đổi mới sáng tạo và quản trị rủi ro dữ liệu.
Tại Việt Nam, quá trình chuyển đổi số quốc gia đang diễn ra mạnh mẽ với sự phát triển của thương mại điện tử, ngân hàng số, fintech, y tế số, giáo dục số và chính phủ điện tử. Điều này làm gia tăng đáng kể hoạt động xử lý dữ liệu cá nhân trong khu vực công và khu vực tư. Tuy nhiên, trong nhiều năm, Việt Nam chưa có một đạo luật chuyên biệt điều chỉnh dữ liệu cá nhân, dẫn đến tình trạng phân tán quy phạm, thiếu cơ chế thực thi hiệu quả, khó kiểm soát chuyển dữ liệu xuyên biên giới và gia tăng các hành vi mua bán dữ liệu trái phép.
Việc Quốc hội ban hành Luật Bảo vệ dữ liệu cá nhân năm 2025 (Luật số 91/2025/QH15) đã đánh dấu bước ngoặt quan trọng trong tiến trình hoàn thiện pháp luật số tại Việt Nam. Theo Khoản 1 Điều 1 Luật Bảo vệ dữ liệu cá nhân 2025: “Luật này quy định về dữ liệu cá nhân, bảo vệ dữ liệu cá nhân và quyền, nghĩa vụ, trách nhiệm của cơ quan, tổ chức, cá nhân có liên quan” (Quốc hội, 2025, Điều 1). Đồng thời, Điều 3 của Luật xác lập các nguyên tắc cơ bản về mục đích xử lý; giới hạn dữ liệu; tính chính xác; an toàn dữ liệu và trách nhiệm bảo vệ dữ liệu cá nhân (Quốc hội, 2025, Điều 3).
Mặc dù vậy, việc ban hành luật chỉ là bước khởi đầu. Thách thức lớn hơn nằm ở cơ chế thực thi, năng lực giám sát, sự tuân thủ của doanh nghiệp và khả năng cân bằng giữa phát triển kinh tế số với bảo vệ quyền con người trong môi trường số.
Trên cơ sở đó, bài viết hướng tới ba mục tiêu nghiên cứu chính:
(1) Phân tích cơ sở lý luận của pháp luật bảo vệ dữ liệu cá nhân trong môi trường số;
(2) Đánh giá thực trạng pháp luật và thực thi pháp luật tại Việt Nam;
(3) Đề xuất giải pháp hoàn thiện mô hình quản trị dữ liệu cá nhân cho Việt Nam trên cơ sở kinh nghiệm quốc tế.
2. Tổng quan tài liệu/ Khung lý thuyết và phương pháp luận
2.1. Tổng quan tài liệu nghiên cứu
Các nghiên cứu quốc tế về bảo vệ dữ liệu cá nhân hiện phát triển theo bốn hướng chính. Thứ nhất, nhóm nghiên cứu tiếp cận dữ liệu cá nhân dưới góc độ quyền con người số (digital human rights). Theo Alan Westin, quyền riêng tư là quyền của cá nhân trong việc kiểm soát thông tin về bản thân (Westin, 1967). Quan điểm này trở thành nền tảng cho các mô hình bảo vệ dữ liệu hiện đại. Thứ hai, nhóm nghiên cứu về quản trị nền tảng số (platform governance) cho rằng dữ liệu cá nhân đã trở thành công cụ quyền lực của các tập đoàn công nghệ lớn. Shoshana Zuboff gọi hiện tượng này là “chủ nghĩa tư bản giám sát” (surveillance capitalism), trong đó dữ liệu hành vi của con người bị khai thác nhằm dự đoán và định hướng hành vi tiêu dùng (Zuboff, 2019). Thứ ba, các nghiên cứu về quản trị thuật toán và trí tuệ nhân tạo nhấn mạnh rủi ro phân biệt đối xử thuật toán, ra quyết định tự động hóa; và thiếu minh bạch trong hệ thống AI. Thứ tư, nhóm nghiên cứu về chủ quyền dữ liệu (data sovereignty) cho rằng dữ liệu cá nhân không chỉ là vấn đề quyền riêng tư mà còn liên quan đến an ninh quốc gia, chủ quyền số và cạnh tranh địa chính trị số.
Tại Việt Nam, các nghiên cứu hiện nay chủ yếu tập trung vào quyền riêng tư, an ninh mạng, bảo mật thông tin và thương mại điện tử. Trong khi đó, các nghiên cứu chuyên sâu về quản trị dữ liệu, trách nhiệm giải trình thuật toán, dữ liệu xuyên biên giới, Đánh giá tác động dữ liệu (DPIA), quản trị dữ liệu và quản trị trí tuệ nhân tạo (AI governance) vẫn còn tương đối hạn chế.
2.2. Khung lý thuyết
2.2.1. Lý thuyết quyền riêng tư thông tin (Information Privacy Theory)
Theo lý thuyết này, dữ liệu cá nhân gắn với quyền tự chủ thông tin (informational self-determination), nghĩa là cá nhân có quyền quyết định cách dữ liệu của mình được thu thập, xử lý và sử dụng. Quan điểm này được phản ánh rõ trong Quy định bảo vệ dữ liệu chung của Liên minh châu Âu (General Data Protection Regulation – GDPR) và nhiều đạo luật bảo vệ dữ liệu hiện đại. Quy định bảo vệ dữ liệu chung của Liên minh châu Âu - GDPR được xem là khuôn khổ pháp lý toàn diện nhất hiện nay về bảo vệ dữ liệu cá nhân khi thiết lập các nguyên tắc như Giới hạn mục đích (purpose limitation), Tối thiểu hóa dữ liệu (data minimization), Xử lý dữ liệu hợp pháp (lawful processing) và Trách nhiệm giải trình (accountability), đồng thời mở rộng đáng kể quyền của chủ thể dữ liệu trong môi trường số (De Hert & Papakonstantinou, 2016).
2.2.2. Lý thuyết quản trị dữ liệu (Data Governance Theory)
Lý thuyết quản trị dữ liệu cho rằng dữ liệu không chỉ là tài sản kinh tế mà còn là đối tượng cần được quản trị theo vòng đời thu thập, lưu trữ, xử lý, chia sẻ, chuyển giao và xóa bỏ. Theo hướng tiếp cận này, pháp luật bảo vệ dữ liệu không chỉ nhằm ngăn cấm xâm phạm quyền riêng tư mà còn thiết lập trách nhiệm giải trình, kiểm toán dữ liệu, quản trị rủi ro và quản trị tuân thủ (compliance governance).
2.2.3. Lý thuyết quản trị thích ứng trong môi trường số
Trong bối cảnh AI và nền tảng số phát triển nhanh chóng, pháp luật cần chuyển từ mô hình “command-and-control” sang mô hình “adaptive governance”, “risk-based regulation” và “co-regulation”.
Điều này đặc biệt quan trọng đối với Hệ thống trí tuệ nhân tạo (AI systems), nền tảng xuyên biên giới, big data ecosystems.
2.3. Phương pháp nghiên cứu
Bài viết sử dụng ba phương pháp chính (1) phương pháp phân tích quy phạm (doctrinal analysis); (2) phương pháp so sánh luật học (comparative law) và (3) phương pháp phân tích quản trị số (digital governance analysis). Nghiên cứu tập trung phân tích tại Luật Bảo vệ dữ liệu cá nhân 2025, Quy định bảo vệ dữ liệu chung của Liên minh châu Âu - GDPR, Luật Bảo vệ thông tin cá nhân - PIPL của Trung Quốc; Đạo luật Bảo vệ Dữ liệu Cá nhân của Singapore - PDPA của Singapore và các chuẩn mực quốc tế liên quan.
3. Kết quả và thảo luận
3.1. Thực trạng pháp luật bảo vệ dữ liệu cá nhân tại Việt Nam
3.1.1. Sự hình thành khung pháp luật bảo vệ dữ liệu cá nhân
Trước năm 2025, các quy định về dữ liệu cá nhân tại Việt Nam nằm rải rác trong Bộ luật Dân sự 2015, Luật An ninh mạng 2018, Luật An toàn thông tin mạng 2015 (Quốc hội, 2015; Quốc hội, 2018) và Nghị định số 13/2023/NĐ-CP (Chính phủ, 2013). Tình trạng này dẫn đến việc thiếu thống nhất, khó thực thi và thiếu cơ quan giám sát chuyên trách. Luật Bảo vệ dữ liệu cá nhân 2025 là đạo luật chuyên ngành đầu tiên điều chỉnh toàn diện lĩnh vực này.
3.1.2. Khái niệm dữ liệu cá nhân
Theo Luật Bảo vệ dữ liệu cá nhân 2025: “Dữ liệu cá nhân là dữ liệu số hoặc thông tin dưới dạng khác xác định hoặc giúp xác định một con người cụ thể” (Quốc hội, 2025). Đây là cách tiếp cận tương đối tương đồng với GDPR của Liên minh Châu Âu.
Luật đồng thời phân chia dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm. Cách phân loại này có ý nghĩa đặc biệt quan trọng đối với đánh giá rủi ro dữ liệu, xác định nghĩa vụ bảo vệ tăng cường và xử lý dữ liệu sinh trắc học cũng như dữ liệu sức khỏe.
3.1.3. Nguyên tắc xử lý dữ liệu cá nhân
Điều 3 Luật Bảo vệ dữ liệu cá nhân 2025 quy định: “Chỉ được thu thập, xử lý dữ liệu cá nhân đúng phạm vi, mục đích cụ thể, rõ ràng…” (Quốc hội, 2025, Khoản 2 Điều 3). Quy định này phản ánh ba nguyên tắc (1) Nguyên tắc giới hạn mục đích (purpose limitation) - Nguyên tắc này yêu cầu dữ liệu cá nhân chỉ được xử lý cho các mục đích xác định, cụ thể và hợp pháp đã được thông báo trước cho chủ thể dữ liệu; (2) Nguyên tắc tối thiểu hóa dữ liệu (data minimization) - Nguyên tắc này yêu cầu chủ thể xử lý dữ liệu chỉ được thu thập lượng dữ liệu cần thiết, phù hợp và giới hạn trong phạm vi phục vụ mục đích xử lý hợp pháp; (3) Nguyên tắc tính tương xứng (proportionality) - Nguyên tắc này yêu cầu hoạt động xử lý dữ liệu phải phù hợp, cần thiết và tương xứng với mục tiêu quản lý hoặc mục đích xử lý dữ liệu đặt ra. Các nguyên tắc này tạo thành nền tảng của pháp luật bảo vệ dữ liệu hiện đại, nhằm giới hạn quyền lực xử lý dữ liệu của các chủ thể kiểm soát dữ liệu trong nền kinh tế số.
Đồng thời, Khoản 3 Điều 3 yêu cầu: “Bảo đảm tính chính xác của dữ liệu cá nhân…” (Quốc hội, 2025, Khoản 3 Điều 3). Đây là nền tảng của ba nguyên tắc: (1) Trách nhiệm giải trình (accountability) - yêu cầu chủ thể xử lý dữ liệu không chỉ tuân thủ pháp luật bảo vệ dữ liệu mà còn phải có khả năng chứng minh việc tuân thủ thông qua cơ chế quản trị, kiểm toán và trách nhiệm giải trình dữ liệu; (2) Tính toàn vẹn dữ liệu (data integrity) - yêu cầu dữ liệu cá nhân phải được duy trì ở trạng thái chính xác, đầy đủ, nhất quán và an toàn trong toàn bộ vòng đời xử lý dữ liệu; (3) Xử lý dữ liệu hợp pháp (lawful processing) - yêu cầu mọi hoạt động xử lý dữ liệu cá nhân phải dựa trên căn cứ pháp lý hợp lệ, minh bạch và phù hợp với quyền của chủ thể dữ liệu.
3.1.4. Quyền của chủ thể dữ liệu
Luật 2025 ghi nhận nhiều quyền mới của chủ thể dữ liệu như quyền truy cập, quyền chỉnh sửa, quyền yêu cầu xóa dữ liệu, quyền hạn chế xử lý và quyền phản đối xử lý dữ liệu. Như tại Điều 13 quy định: “Chủ thể dữ liệu cá nhân được tự mình chỉnh sửa dữ liệu cá nhân…” (Quốc hội, 2025, Điều 13). Đây là bước tiến lớn trong việc tiếp cận mô hình Quyền của chủ thể dữ liệu (data subject rights) - là hệ thống các quyền pháp lý của cá nhân đối với dữ liệu cá nhân của mình, nhằm bảo đảm khả năng kiểm soát hoạt động thu thập, xử lý và khai thác dữ liệu trong môi trường số; và Quyền tự chủ thông tin (informational autonomy) - là quyền của cá nhân trong việc kiểm soát quá trình thu thập, xử lý, chia sẻ và sử dụng dữ liệu liên quan đến bản thân mình trong môi trường số.
3.2. Những hạn chế và thách thức trong thực thi
3.2.1. Thiếu cơ chế thực thi mạnh
Mặc dù đã có luật chuyên ngành, nhưng Việt Nam vẫn thiếu cơ quan bảo vệ dữ liệu độc lập, cơ chế điều tra chuyên trách và hệ thống kiểm toán dữ liệu. Điều này làm giảm hiệu quả thực thi.
3.2.2. Khó kiểm soát dữ liệu xuyên biên giới
Các nền tảng xuyên biên giới như (1) Mạng xã hội (Social media platforms), (2) Dịch vụ điện toán đám mây (cloud services) (3) nền tảng trí tuệ nhân tạo (AI platforms) đang tái cấu trúc quan hệ giữa Nhà nước, thị trường và cá nhân trong không gian số, đồng thời đặt ra các thách thức pháp lý mới liên quan đến chủ quyền dữ liệu, quyền lực thuật toán, bảo vệ dữ liệu cá nhân và quản trị AI trong kỷ nguyên số. Trong khi đó năng lực giám sát dữ liệu xuyên biên giới của Việt Nam còn hạn chế.
3.2.3. Rủi ro từ AI và thuật toán
Hệ thống AI hiện có thể phân tích hành vi, dự đoán sở thích, chấm điểm tín dụng, nhận diện khuôn mặt và ra quyết định tự động. Điều này làm xuất hiện sự phân biệt đối xử bằng thuật toán (algorithmic discrimination), quản trị mờ ám (opaque governance) và thiên lệch tự động (automated bias), từ đó cho thấy AI không còn là công cụ kỹ thuật trung lập mà đang trở thành cấu trúc quyền lực số có khả năng tái tạo bất bình đẳng xã hội, ảnh hưởng đến quyền con người và làm suy giảm tính minh bạch trong quản trị số. Tuy nhiên, Luật 2025 chưa quy định đầy đủ về quyền phản đối quyết định tự động hóa, giải thích thuật toán, trách nhiệm giải trình trong quản trị AI (AI accountability).
3.3. Kinh nghiệm quốc tế và bài học cho Việt Nam
3.3.1. Tại Hoa Kỳ
Tại Hoa Kỳ, pháp luật bảo vệ dữ liệu được xây dựng theo mô hình phân ngành (sectoral approach), thay vì ban hành một đạo luật thống nhất ở cấp liên bang. Các lĩnh vực cụ thể được điều chỉnh bởi các đạo luật chuyên ngành như Health Insurance Portability and Accountability Act (HIPAA), Gramm–Leach–Bliley Act (GLBA) và California Consumer Privacy Act (CCPA). Mô hình này ưu tiên thúc đẩy đổi mới sáng tạo và thị trường dữ liệu hơn là kiểm soát tập trung (Solove, 2021). Tuy nhiên, sự phát triển mạnh của Mạng xã hội, Dịch vụ điện toán đám mây và Nền tảng trí tuệ nhân tạo đang tái cấu trúc quan hệ giữa Nhà nước, thị trường và cá nhân trong không gian số, đồng thời đặt ra các thách thức pháp lý mới liên quan đến chủ quyền dữ liệu, quyền lực thuật toán, bảo tại Hoa Kỳ cũng làm gia tăng các rủi ro liên quan đến chủ nghĩa tư bản giám sát (surveillance capitalism), phân biệt đối xử bằng thuật toán (algorithmic discrimination) và quản trị mờ ám (opaque governance). Theo Zuboff (2019), dữ liệu hành vi người dùng đã trở thành công cụ dự báo và điều hướng hành vi xã hội trong nền kinh tế số hiện đại.
3.3.2. Tại Liên minh châu Âu (EU)
Khác với Hoa Kỳ, European Union xây dựng mô hình quản trị dữ liệu dựa trên quyền cơ bản của con người trong môi trường số. General Data Protection Regulation (GDPR) của EU thiết lập các nguyên tắc cốt lõi như giới hạn mục đích (purpose limitation), tối thiểu hóa dữ liệu (data minimization), tính tương xứng (proportionality), Xử lý dữ liệu hợp pháp (lawful processing) và Trách nhiệm giải trình (accountability) (European Union, 2016). GDPR đồng thời trao cho chủ thể dữ liệu các quyền quan trọng như quyền truy cập dữ liệu, quyền xóa dữ liệu và quyền phản đối quyết định tự động. Đặc biệt, EU đang mở rộng quản trị nền tảng số thông qua Digital Services Act và EU AI Act nhằm kiểm soát trách nhiệm giải trình AI (AI accountability), tính minh bạch thuật toán (algorithmic transparency) và hê thống AI rủi ro cao (high-risk AI systems) (European Union, 2022; European Union, 2024). Cách tiếp cận này phản ánh xu hướng quản trị số lấy con người làm trung tâm (human-centric digital governance), trong đó bảo vệ dữ liệu cá nhân gắn trực tiếp với bảo vệ quyền con người số (digital human rights).
3.3.3. Tại Singapore
Trong khi đó, Singapore lựa chọn mô hình cân bằng giữa đổi mới sáng tạo và quản trị rủi ro. Personal Data Protection Act (PDPA) của Singapore kết hợp bảo vệ dữ liệu với thúc đẩy phát triển kinh tế số và AI innovation. Singapore áp dụng cơ chế Điều chỉnh bằng thử nghiệm (regulation by experimentation), Quản trị ưu tiên mô hình thử nghiệm (sandbox-first governance) và Điều chỉnh thích ứng (adaptive regulation), cho phép thử nghiệm công nghệ mới trong môi trường kiểm soát trước khi ban hành quy định cứng (Monetary Authority of Singapore, 2020). Đồng thời, quốc gia này chú trọng phát triển các khuôn khổ quản trị AI (AI governance frameworks), AI có thể giải thích (explainable AI) và quản trị dựa trên trách nhiệm giải trình (accountability-based governance) nhằm bảo đảm trách nhiệm giải trình AI nhưng không cản trở đổi mới sáng tạo.
3.3.4. Tại Trung Quốc
Đối với Trung Quốc, mô hình quản trị dữ liệu mang tính chủ quyền dữ liệu (data sovereignty) và kiểm soát dữ liệu chiến lược rất rõ nét. Các đạo luật như Luật An ninh mạng (Cybersecurity Law), Luật Bảo mật dữ liệu (Data Security Law) và Luật Bảo vệ thông tin cá nhân Personal Information Protection Law - PIPL), cho phép Nhà nước kiểm soát mạnh dữ liệu xuyên biên giới, định vị dữ liệu và thuật toán nền tảng số (People’s Republic of China, 2021). Trung Quốc coi dữ liệu, nền tảng AI (AI platforms) và cơ sở hạ tầng đám mây (cloud infrastructure) là nguồn lực chiến lược quốc gia, từ đó hình thành mô hình quản trị dữ liệu gắn chặt với an ninh quốc gia và chủ quyền không gian mạng (cyber sovereignty).
Kinh nghiệm quốc tế cho thấy pháp luật bảo vệ dữ liệu cá nhân đang chuyển dịch từ mô hình bảo vệ quyền riêng tư truyền thống sang mô hình quản trị dữ liệu tích hợp (integrated data governance), trong đó dữ liệu được xem vừa là quyền nhân thân, vừa là nguồn lực chiến lược của nền kinh tế số và quản trị AI. Các quốc gia và khu vực pháp lý lớn như Hoa Kỳ, Châu Âu (EU), Singapore và Trung Quốc đã phát triển các mô hình quản trị khác nhau, phản ánh sự khác biệt về triết lý pháp lý, mô hình kinh tế và chiến lược chủ quyền số.
Từ kinh nghiệm quốc tế, Việt Nam cần chuyển từ tư duy “bảo mật thông tin” sang “quản trị dữ liệu tích hợp”, trong đó bảo vệ dữ liệu cá nhân phải gắn với quản trị AI, quản trị nền tảng xuyên biên giới và chủ quyền số quốc gia. Đồng thời, Việt Nam cần phát triển cơ chế thru nghiệm pháp lý (sandbox), Trách nhiệm giải trình AI, kiểm toán thuật toán (algorithm audit) và các tiêu chuẩn giải thích (explainability standards) nhằm kiểm soát hiệu quả các rủi ro như thiên lệch tự động (automated bias), phân biệt đối xử bằng thuật toán (algorithmic discrimination) và quản trị mờ ám (opaque governance) trong nền kinh tế số.
4. Kết luận và hàm ý chính sách
Luật Bảo vệ dữ liệu cá nhân 2025 đánh dấu bước chuyển quan trọng trong tiến trình xây dựng nhà nước pháp quyền số và nền kinh tế số tại Việt Nam. Tuy nhiên, trong bối cảnh dữ liệu đã trở thành hạ tầng chiến lược của nền kinh tế số, việc bảo vệ dữ liệu cá nhân không còn chỉ là vấn đề kỹ thuật pháp lý mà đã trở thành vấn đề quyền con người, quản trị nền tảng số, an ninh quốc gia và chủ quyền số. Trên cơ sở kinh nghiệm quốc tế, bài viết cho rằng Việt Nam cần chuyển từ mô hình “bảo vệ quyền riêng tư truyền thống” sang mô hình “quản trị dữ liệu cá nhân toàn diện”. Theo đó, Việt Nam cần:
(1). Tuyên truyền, bổ biến và hướng dẫn cần thiết để tăng cường thực công tác thi Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15.
(2). Thành lập cơ quan bảo vệ dữ liệu độc lập (Data Protection Authority - DPA); cơ quan này có quyền thanh tra, xử phạt, kiểm toán dữ liệu và yêu cầu ngừng xử lý dữ liệu.
(3). Xây dựng cơ chế Đánh giá tác động dữ liệu (Data Protection Impact Assessment - DPIA) và bắt buộc áp dụng phù hợp với hệ thống AI, fintech và các nền tảng số lớn.v.v..
(4). Tăng cường trách nhiệm giải trình thuật toán, thực hiện kiểm toán thuật toán, nghĩa vụ minh bạch AI.v.v.. và nâng cao năng lực tuân thủ của doanh nghiệp.
(5). Thúc đẩy xây dựng chủ quyền dữ liệu số quốc gia: Trong bối cảnh cạnh tranh địa chính trị số, dữ liệu cần được xem là tài sản chiến lược quốc gia. Do đó, Việt Nam cần hoàn thiện cơ chế dữ liệu xuyên biên giới, phát triển hạ tầng dữ liệu quốc gia, xây dựng chủ quyền điện toán đám mây và thúc đẩy nội địa hóa dữ liệu (data localization) với cơ chế pháp lý yêu cầu dữ liệu được lưu trữ hoặc xử lý trong lãnh thổ quốc gia nhằm bảo vệ chủ quyền dữ liệu, an ninh quốc gia và quyền riêng tư trong nền kinh tế số phù hợp.
Trong kỷ nguyên vươn mình của Việt Nam, AI và kinh tế dữ liệu, năng lực bảo vệ dữ liệu cá nhân sẽ trở thành một chỉ số quan trọng phản ánh mức độ phát triển pháp quyền số, năng lực cạnh tranh quốc gia và mức độ tin cậy của môi trường kinh doanh số tại Việt Nam, cũng như góp phần quan trọng vào việc thực thi hiệu quả qui định về bảo vệ dữ liệu cá nhân của pháp luật Việt Nam nói chung và Luật Bảo vệ dữ liệu cá nhân năm 2025 nói riêng trong môi trường số của Việt Nam, phù hợp với xu thế chung về quản trị xã hội và mô hình vận hành của nền kinh tế toàn cầu trong thời đại kinh tế số.
TÀI LIỆU THAM KHẢO
1. De Hert, P., & Papakonstantinou, V. (2016). The new General Data Protection Regulation. Computer Law & Security Review, 32(2), 179-194.
2. Chính phủ. (2023). Nghị định số 13/2023/NĐ-CP ngày 17 tháng 4 năm 2023 về bảo vệ dữ liệu cá nhân.
3. European Union. (2016). General Data Protection Regulation (GDPR) 2016/679.
4. European Union. (2022). Digital Services Act. Official Journal of the European Union.
5. European Union. (2024). Artificial Intelligence Act. Official Journal of the European Union.
6. Monetary Authority of Singapore. (2020). Model AI Governance Framework (2nd ed.).
7. People’s Republic of China. (2021). Personal Information Protection Law (PIPL).
8. Quốc hội. (2015). Bộ luật Dân sự số 91/2015/QH13.
9. Quốc hội. (2015). Luật An toàn thông tin mạng số 86/2015/QH13.
10. Quốc hội. (2018). Luật An ninh mạng số 24/2018/QH14.
11. Quốc hội. (2025). Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15.
12. Solove, D. J. (2021). Understanding privacy. Harvard University Press.
13. The Economist. (2017, May 6). The world’s most valuable resource is no longer oil, but data.
14. Westin, A. (1967). Privacy and freedom. Atheneum.
15. Zuboff, S. (2019). The age of surveillance capitalism. PublicAffairs.
Luật sư TRẦN VĂN DŨNG
Hãng Luật Vũ MacKenzie Việt Nam (VMK),
Phó chi hội Luật gia Viện NCĐT Kinh tế Tài chính,
Trường đại học Tài chính Marketing - Bộ Tài chính.
