1. Dẫn nhập
Trong bối cảnh cuộc cách mạng về chuyển đổi số đang bùng nổ và phát triển mạnh mẽ trên thế giới, Việt Nam cũng không nằm ngoài quy luật vận động chung này. Theo Báo cáo về tình hình chuyển đổi số quốc gia năm 2024, Việt Nam đứng vị trí thứ 71/193 trong bảng xếp hạng Chính phủ điện tử của Liên Hợp Quốc (tăng 15 bậc so với 2022), thuộc nhóm quốc gia có chỉ số phát triển chính phủ điện tử (EGDI) ở mức rất cao [1]. Khi kinh tế số phát triển, dữ liệu cá nhân (DLCN) không chỉ là tài sản quan trọng đối với cá nhân, mà còn là nguồn “tài nguyên” phong phú đối với doanh nghiệp, giúp gia tăng cơ hội tiếp cận đa dạng đối tượng khách hàng, từ đó tối ưu kế hoạch kinh doanh. Tuy nhiên, với hạ tầng không gian mạng phát triển vũ bão như hiện nay, đã đặt ra không ít khó khăn, thách thức pháp lý liên quan đến quyền riêng tư, an toàn thông tin và trách nhiệm bảo vệ dữ liệu. Tình trạng thu thập, mua bán trái phép DLCN đang rất phổ biến, các giao dịch không chỉ diễn ra đơn lẻ giữa cá nhân với cá nhân, mà còn có sự tham gia của các tổ chức [2].
Trên thế giới, đã xảy ra hàng loạt vi phạm dữ liệu nghiêm trọng từ hồ sơ học sinh, thông tin y tế cho đến dữ liệu chính phủ nhạy cảm, điển hình như vụ việc của PowerSchool, Doge và Elon Musk Cocospy, Spyic, Spyzie, Disa [3], hay như vụ bê bối dữ liệu của Facebook - Cambridge Analytica. Tại Việt Nam, Công ty VNG làm rò rỉ hơn 163 triệu tài khoản, Công ty Thế Giới Di Động và Điện Máy Xanh để lộ hơn 5 triệu email và hàng chục ngàn thông tin thẻ thanh toán, Vietnam Airlines bị tin tặc tấn công đăng tải lên internet 411.000 tài khoản của khách hàng và Công ty FPT [4]. Cũng theo Viettel Threat Intelligence, nửa đầu năm 2024 ghi nhận hơn 61 triệu tài khoản bị lộ lọt, tăng 1,5 lần so với cùng kỳ năm 2023 (hơn 41 triệu tài khoản). Mạng xã hội, ngân hàng, giao dịch trực tuyến, giáo dục, y tế là những lĩnh vực có số lượng bản ghi thông tin cá nhân bị đánh cắp nhiều [5]. Không những vậy, tình trạng mua bán DLCN cũng đang diễn ra rất phổ biến, bao gồm cả dữ liệu thô lẫn dữ liệu đã qua xử lý. Về phía người dùng, do hạn chế trong nhận thức bảo mật dữ liệu, không ít trường hợp người dùng tự đăng tải công khai hoặc vô tình để rò rỉ thông tin khi tham gia nền tảng trực tuyến. Thực tế này phản ánh một bức tranh đáng lo ngại về an toàn DLCN.

Ảnh minh họa.
Tại Việt Nam, Nghị định 13/2023/NĐ-CP ngày 17/4/2023 về bảo vệ dữ liệu cá nhân, đã đánh dấu một bước tiến quan trọng trong việc xây dựng hành lang pháp lý nhằm bảo vệ quyền lợi của cá nhân trong môi trường số. Tuy nhiên, quá trình thực thi Nghị định này gặp nhiều thách thức do doanh nghiệp còn lúng túng trong việc tuân thủ quy định, đồng thời xuất hiện những khoảng trống pháp lý liên quan đến quyền kiểm soát dữ liệu, cơ chế chuyển dữ liệu xuyên biên giới, trách nhiệm của các bên liên quan. Trước thực trạng này, nhu cầu hoàn thiện khung pháp lý về bảo vệ DLCN trở nên cấp thiết, không chỉ để bảo vệ quyền riêng tư của công dân mà còn đảm bảo tính bền vững của nền kinh tế số, đặc biệt hơn nữa trong bối cảnh Nhà nước ta đang xây dựng dự thảo Luật Bảo vệ dữ liệu cá nhân.
Bài viết này của nhóm tác giả hướng đến phân tích thực trạng quy định pháp luật về bảo vệ DLCN tại Việt Nam, tập trung chủ yếu vào Luật An ninh mạng 2018 và Nghị định 13/2023/NĐ-CP. Bên cạnh đó, đối chiếu với các tiêu chuẩn quốc tế như GDPR của Liên minh Châu Âu (EU), các quy định của Hoa Kỳ và Singapore, bài viết sẽ luận giải những khoảng trống pháp lý hiện hành, qua đó đề xuất các giải pháp nhằm hoàn thiện pháp luật và nâng cao hiệu quả bảo vệ DLCN.
2. Khái quát về dữ liệu cá nhân
Khái niệm DLCN lần đầu tiên được đưa ra trong Hướng dẫn bảo vệ quyền riêng tư và dịch chuyển DLCN xuyên biên giới của Tổ chức Hợp tác và Phát triển kinh tế (OECD) vào năm 1980 và Hiệp định bảo vệ cá nhân liên quan đến việc xử lý tự động DLCN năm 1981 của Hội đồng Châu Âu. Theo OECD, DLCN là bất kỳ thông tin nào có liên quan đến một cá nhân cụ thể hoặc có thể xác định được.
Theo Quy định chung về bảo vệ dữ liệu (General Data Protection Regulation - GDPR) của EU, DLCN là “bất kỳ thông tin nào liên quan đến một thể nhân (data subject) đã được nhận định danh tính, hoặc có thể được nhận định danh tính, dù trực tiếp hay gián tiếp, cụ thể là bằng cách chỉ ra một định danh như: tên, số định danh, dữ liệu vị trí, định danh trên mạng, hay một hoặc nhiều yếu tố chỉ định danh tính của một cá nhân mang tính vật lý, sinh lý, di truyền, tâm lý, kinh tế, văn hoá, hoặc xã hội” [6].
Theo pháp luật Hoa Kỳ, DLCN được quy định trong các đạo luật cấp liên bang và tiểu bang với hai thuật ngữ được sử dụng song song là “thông tin cá nhân” hoặc “thông tin nhận dạng cá nhân” [7]. Viện Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ định nghĩa thông tin nhận dạng cá nhân là “bất kỳ thông tin nào về một cá nhân được duy trì bởi một cơ quan, bao gồm: (1) bất kỳ thông tin có thể sử dụng để phân biệt hoặc theo dõi danh tính của một cá nhân như tên, số an sinh xã hội, ngày và nơi sinh, tên, thông tin y tế; (2) bất kỳ thông tin có liên quan hoặc liên kết với một cá nhân như thông tin y tế, giáo dục, tài chính và việc làm”.
Theo Điều 1034 của Bộ luật Dân sự Trung Quốc định nghĩa thông tin cá nhân là “các loại thông tin được ghi lại dưới dạng điện tử hoặc theo những cách khác, có thể được sử dụng riêng lẻ hoặc kết hợp với các thông tin khác để xác định một cá nhân, bao gồm danh tính, ngày tháng sinh, số định danh, thông tin sinh trắc học, địa chỉ cư trú, số điện thoại, thư điện tử, thông tin sức khỏe, thông tin chỗ ở của cá nhân đó” [8].
Nhìn chung mỗi quốc gia, mỗi khu vực có cách sử dụng thuật ngữ khác nhau. Trong khi thuật ngữ “dữ liệu cá nhân”, “dữ liệu nhận dạng cá nhân” được sử dụng phổ biến ở Châu Âu, thì thuật ngữ “thông tin nhận dạng cá nhân” được sử dụng phổ biến ở Mỹ, thuật ngữ “thông tin cá nhân” được sử dụng phổ biến ở Úc, Nhật Bản, Trung Quốc, Canada và một số nước châu Á [9]. Theo quan điểm nhóm tác giả, việc tiếp cận theo hướng các quốc gia châu Âu sử dụng thuật ngữ “dữ liệu cá nhân” là phù hợp hơn so với “thông tin cá nhân”, vì phạm vi bao quát hơn, phản ánh đúng bản chất dữ liệu trong thời đại số. Theo đó, DLCN không chỉ giới hạn ở thông tin nhận dạng truyền thống mà còn bao gồm dữ liệu số hóa, sinh trắc học, hành vi trực tuyến và dữ liệu thu thập từ công nghệ hiện đại.
Tại Việt Nam, trong bối cảnh chuyển đổi số và hội nhập quốc tế, đã bước đầu thiết lập khung pháp lý về bảo vệ DLCN thông qua Nghị định 13/2023/NĐ-CP. Theo đó, tại khoản 1 Điều 2 Nghị định 13/2023/NĐ-CP ghi nhận DLCN là “thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể”. DLCN chia thành hai loại: DLCN cơ bản và DLCN nhạy cảm. Trong đó DLCN cơ bản bao gồm những thông tin tối thiểu để xác định một cá nhân như tên, họ, ngày tháng năm sinh, giới tính, nơi sinh, quốc tịch, số điện thoại, số căn cước,…[10] Còn DLCN nhạy cảm là dữ liệu gắn liền với quyền riêng tư của cá nhân mà khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp tới quyền lợi của cá nhân đó như quan điểm tôn giáo, chính trị, dân tộc, tình trạng sức khỏe, đặc điểm sinh học,... [11].
Có thể nói, DLCN là một tài sản quan trọng, gắn liền với quyền riêng tư và lợi ích hợp pháp của cá nhân, không chỉ phản ánh danh tính, thông tin sinh trắc học, lịch sử giao dịch mà còn là cơ sở để phân tích hành vi, xu hướng tiêu dùng và ra quyết định kinh doanh. Nếu DLCN không được bảo vệ chặt chẽ, nguy cơ lộ thông tin cá nhân sẽ ảnh hưởng tiêu cực đến quyền và lợi ích của công dân, gây tổn hại đến danh dự, uy tín, thậm chí đe dọa an toàn tài chính và an ninh xã hội.
Nhận thức được tầm quan trọng của vấn đề này, pháp luật Việt Nam đã có những quy định cụ thể để bảo vệ DLCN. Tại khoản 5 Điều 2 Nghị định số 13/2023/NĐ-CP ghi nhận, bảo vệ DLCN là hoạt động phòng ngừa, phát hiện, ngăn chặn và xử lý các hành vi vi phạm liên quan đến DLCN. Quy định này tạo nền tảng pháp lý vững chắc để đảm bảo rằng DLCN được bảo vệ một cách toàn diện, hạn chế tối đa nguy cơ bị lạm dụng. Bên cạnh đó, tại Điều 21 Hiến pháp 2013 cũng xác lập nguyên tắc cơ bản về quyền riêng tư và bảo vệ DLCN: “Mọi người có quyền bất khả xâm phạm về đời sống riêng tư, bí mật cá nhân và bí mật gia đình; có quyền bảo vệ danh dự, uy tín của mình. Thông tin về đời sống riêng tư, bí mật cá nhân, bí mật gia đình được pháp luật bảo đảm an toàn”. Điều này một lần nữa khẳng định, bảo vệ DLCN không chỉ dừng lại ở phạm vi một quyền cá nhân đơn lẻ, mà đã được ghi nhận ở tầm hiến định. Ngoài ra, Bộ luật Dân sự 2015 cũng ghi nhận quyền bảo vệ thông tin cá nhân trong các điều khoản về quyền nhân thân, Luật An toàn thông tin mạng 2015, Luật An ninh mạng 2018 và Luật Viễn thông 2023 cũng đề cập một số vấn đề liên quan đến bảo vệ DLCN trong lĩnh vực công nghệ thông tin và viễn thông.
3. Những khoảng trống trong khung pháp lý hiện hành về bảo vệ dữ liệu cá nhân
Hiện nay, Việt Nam chưa có một đạo luật chuyên biệt về bảo vệ DLCN, mà các quy định liên quan chủ yếu được lồng ghép trong nhiều văn bản pháp luật khác nhau. Một bước ngoặt trong hành lang pháp lý Việt Nam về bảo vệ DLCN là Nghị định 13/2023/NĐ-CP quy định chi tiết về quyền và nghĩa vụ của chủ dữ liệu cũng như trách nhiệm của tổ chức, cá nhân xử lý dữ liệu. Nghị định này đưa ra các nguyên tắc quan trọng như nguyên tắc đồng thuận, theo đó DLCN chỉ có thể được thu thập và xử lý khi có sự đồng ý từ chủ dữ liệu; nguyên tắc hạn chế mục đích nhằm ngăn chặn việc sử dụng DLCN ngoài phạm vi đã cam kết; và nguyên tắc bảo mật, yêu cầu tổ chức, cá nhân thu thập dữ liệu phải áp dụng các biện pháp phù hợp để ngăn chặn nguy cơ rò rỉ dữ liệu. Mặc dù đã có những tiến bộ đáng kể, song khung pháp lý hiện hành về bảo vệ DLCN vẫn còn tồn tại một số hạn chế nhất định, có thể kể đến như:
Thứ nhất, thiếu vắng các quy định chi tiết về quyền kiểm soát DLCN
So với GDPR của EU, Nghị định 13/2023/NĐ-CP thiếu vắng quy định về quyền được quên (right to be forgotten) hay quyền di chuyển dữ liệu (data portability). Đây là những quyền năng quan trọng giúp cá nhân có thể kiểm soát dữ liệu bản thân một cách linh hoạt.
Quyền được quên (right to be forgotten), được quy định tại Điều 17 của GDPR, là một trong những nội dung quan trọng nhằm bảo vệ quyền riêng tư của cá nhân trong môi trường số. Quyền này cho phép cá nhân yêu cầu xóa DLCN của mình khỏi hệ thống khi không còn cần thiết hoặc khi cá nhân rút lại sự đồng ý. Quy định này góp phần kiểm soát DLCN, đảm bảo quyền tự quyết và quyền riêng tư của cá nhân đối với những thông tin liên quan đến chính họ. Tuy nhiên, đối chiếu với pháp luật Việt Nam hiện hành, quyền yêu cầu xóa dữ liệu tại khoản 5 Điều 9 Nghị định 13/2023/NĐ-CP chỉ được ghi nhận một cách khái quát, chưa tường minh nghĩa vụ của doanh nghiệp trong việc thực thi yêu cầu này, cũng như chế tài xử lý vi phạm trong trường hợp doanh nghiệp cố tình trục lợi từ dữ liệu của khách hàng. Thiếu sót này có thể dẫn đến DLCN bị phát tán hoặc sử dụng trái phép, đặc biệt trong bối cảnh DLCN có thể bị lạm dụng trong các hoạt động quảng cáo, tiếp thị hoặc các mục đích khác, doanh nghiệp ngày càng sử dụng nhiều sản phẩm, dịch vụ phân tích dữ liệu khách hàng, DLCN để tối đa hóa lợi nhuận.
Bên cạnh đó, quyền di chuyển dữ liệu (data portability) quy định tại Điều 20 của GDPR, là một trong những nội dung trọng tâm trên phạm vi toàn cầu. Quyền này bảo đảm rằng cá nhân có thể yêu cầu nhận lại DLCN của mình dưới định dạng có thể đọc được bằng máy và chuyển giao dữ liệu một cách dễ dàng giữa các nhà cung cấp dịch vụ khác nhau mà không bị gián đoạn hay thất lạc thông tin. Chẳng hạn khi sử dụng dịch vụ lưu trữ đám mây, nếu dữ liệu của người dùng bị khóa trong một hệ thống không tương thích với các nền tảng khác, người dùng sẽ gặp khó khăn trong việc chuyển đổi sang nhà cung cấp dịch vụ khác mà không phải đối mặt với chi phí và sự bất tiện lớn. Tuy nhiên, quyền này chưa được đề cập trong Nghị định 13/2023/NĐ-CP, dẫn đến một khoảng trống pháp lý trong hệ thống quy định bảo vệ DLCN hiện hành, gây hạn chế khả năng kiểm soát DLCN và tạo rào cản đối với cạnh tranh lành mạnh giữa các doanh nghiệp công nghệ.
Ngoài ra, quy định về quyền rút lại sự đồng ý theo Điều 7 của GDPR là một yếu tố then chốt trong việc bảo đảm quyền kiểm soát của cá nhân đối với dữ liệu. Theo đó, quyền rút lại sự đồng ý của cá nhân phải được thực hiện một cách đơn giản, nhanh chóng, và các tổ chức phải ngừng xử lý dữ liệu ngay khi cá nhân rút lại sự đồng ý. Điều này nhằm bảo vệ quyền tự quyết của cá nhân đối với dữ liệu của mình, đảm bảo việc xử lý DLCN luôn được thực hiện trong khuôn khổ sự đồng thuận hợp pháp của chủ dữ liệu. Tuy nhiên, Nghị định 13/2023/NĐ-CP lại đang khuyết một cơ chế cụ thể quy định việc doanh nghiệp phải ngừng xử lý dữ liệu ngay lập tức sau khi cá nhân rút lại sự đồng ý. Điều này tạo ra một khoảng trống pháp lý quan trọng, vì không có bất kỳ ràng buộc nào yêu cầu doanh nghiệp phải tuân thủ. Tình trạng này có thể dẫn đến việc doanh nghiệp tiếp tục xử lý DLCN mà bất chấp yêu cầu từ chủ dữ liệu, gây mất an toàn đối với quyền riêng tư cá nhân.
Hai là, chế tài xử phạt trong Nghị định 13/2023/NĐ-CP chưa đủ tính răn đe hành vi vi phạm
Một trong những hạn chế chủ yếu của pháp luật Việt Nam hiện hành về bảo vệ DLCN là hệ thống chế tài xử phạt chưa đủ sức răn đe, dẫn đến thiếu tính tuân thủ nghiêm ngặt từ các tổ chức, cá nhân xử lý dữ liệu. Mức xử phạt hành chính theo Nghị định 15/2020/NĐ-CP ngày 03/02/2020 đối với vi phạm bảo vệ DLCN (tối đa 100 triệu đồng đối với cá nhân và 200 triệu đồng đối với tổ chức) rõ ràng chưa đủ mạnh để tạo răn đe hiệu quả. Thực tiễn cho thấy, ở Việt Nam hàng loạt đường dây mua bán trái phép DLCN với khoản lợi bất chính lên đến con số hàng tỷ đồng [12]. Cũng theo dự báo của đơn vị nghiên cứu thị trường Research and Markets ước tính nền kinh tế dữ liệu của Việt Nam sẽ đạt giá trị 1,03 tỷ USD vào năm 2028, tăng đáng kể so với mức 561 triệu USD được ghi nhận vào năm 2022 [13]. Một khi thị trường DLCN có giá trị lên đến hàng tỷ USD, đồng nghĩa với việc các công ty công nghệ có thể thu được lợi nhuận đáng kể từ việc thu thập và sử dụng dữ liệu. Sự chênh lệch rõ rệt giữa lợi ích thu được từ việc khai thác trái phép dữ liệu và mức xử phạt hiện tại, rất khó để tạo động lực cho doanh nghiệp tuân thủ pháp luật, qua đó làm suy yếu hiệu quả của các chế tài ngăn ngừa hành vi vi phạm. Khi so sánh với các quy định của GDPR có thể thấy sự khác biệt đáng kể trong chế tài xử phạt hành vi vi phạm này. Cụ thể tại Điều 83 GDPR ghi nhận mức phạt hành chính lên tới 20 triệu Euro hoặc 4% tổng doanh thu toàn cầu đối với các hành vi vi phạm nghiêm trọng về bảo vệ dữ liệu, tùy mức nào cao hơn. Quy định này thúc đẩy doanh nghiệp phải tuân thủ pháp luật và đảm bảo rằng DLCN phải được xử lý một cách hợp pháp, nếu vi phạm doanh nghiệp gánh chịu hậu quả nặng nề.
Ba là, thiếu vắng cơ quan giám sát và thực thi
Mặc dù Nghị định 13/2023/NĐ-CP đã đặt ra một số nguyên tắc quan trọng trong bảo vệ DLCN, nhưng việc thực thi các quy định này tùy thuộc vào từng lĩnh vực cụ thể tương ứng với các cơ quan quản lý khác nhau như: Bộ Công an, Bộ Thông tin và Truyền thông, Bộ Khoa học và Công nghệ, Bộ Quốc phòng. Điều này dẫn đến tình trạng phân tán quyền lực và thiếu sự thống nhất trong công tác giám sát, gây khó khăn cho cá nhân, doanh nghiệp trong việc xác định cơ quan có thẩm quyền giải quyết khiếu nại hoặc khi cần hướng dẫn pháp lý về bảo vệ DLCN. Chẳng hạn, trong lĩnh vực viễn thông, nếu thông tin thuê bao bị rò rỉ do lỗi của nhà mạng, Bộ Thông tin và Truyền thông có thể chịu trách nhiệm xử lý. Tuy nhiên, nếu dữ liệu này bị khai thác vào mục đích lừa đảo, cơ quan điều tra thuộc Bộ Công an mới có thẩm quyền giải quyết. Tương tự, trong lĩnh vực tài chính - ngân hàng, nếu dữ liệu khách hàng bị xâm phạm do tấn công mạng, Ngân hàng Nhà nước có thể đóng vai trò quản lý, nhưng khi vi phạm liên quan đến gian lận tài chính, trách nhiệm lại thuộc về Bộ Công an. Sự phân tán quyền lực này đặt ra thách thức trong việc đảm bảo thực thi hiệu quả các quy định bảo vệ DLCN, đòi hỏi một cơ chế giám sát tập trung hoặc sự phối hợp chặt chẽ hơn giữa các cơ quan có thẩm quyền nhằm tăng cường tính minh bạch và bảo vệ quyền lợi của cá nhân, doanh nghiệp.
So sánh với các quốc gia phát triển trên thế giới, tại EU, mỗi nước thành viên đều có một cơ quan bảo vệ dữ liệu quốc gia (Data Protection Authority - DPA) chịu trách nhiệm giám sát việc thực thi quy định bảo vệ dữ liệu chung, xử lý các khiếu nại liên quan đến vi phạm DLCN và ban hành hướng dẫn để doanh nghiệp tuân thủ, cũng như phối hợp với các DPA khác trong khu vực nhằm bảo đảm tính nhất quán của pháp luật về bảo vệ dữ liệu trên toàn EU. Nhờ cơ chế này, cá nhân có thể dễ dàng khiếu nại khi dữ liệu của họ bị xử lý trái phép, trong khi các tổ chức cũng nhận được sự hỗ trợ cần thiết để bảo đảm tính tuân thủ. Singapore thiết lập cơ quan bảo vệ DLCN (Personal Data Protection Commission - PDPC) hoạt động độc lập với thẩm quyền điều tra và xử phạt các tổ chức vi phạm Đạo luật Bảo vệ dữ liệu cá nhân (Personal Data Protection Act - PDPA). PDPC không chỉ có chức năng thực thi pháp luật mà còn đóng vai trò quan trọng trong việc nâng cao nhận thức của doanh nghiệp và công chúng về tầm quan trọng của bảo vệ DLCN, từ đó tạo ra một môi trường pháp lý minh bạch và có tính thực thi cao.
Bốn là, vướng mắc trong cơ chế xử lý dữ liệu xuyên biên giới
Một trong những quy định gây tranh cãi tại Việt Nam là yêu cầu lưu trữ dữ liệu trong nước. Theo Điều 26 Luật An ninh mạng 2018 và Nghị định 53/2022/NĐ-CP quy định chi tiết một số điều của Luật An ninh mạng, yêu cầu các doanh nghiệp nước ngoài cung cấp dịch vụ trên không gian mạng tại Việt Nam có nghĩa vụ lưu trữ dữ liệu người dùng trong lãnh thổ Việt Nam và đặt văn phòng đại diện nếu hoạt động liên quan đến an ninh mạng. Quy định này hướng đến đảm bảo DLCN không bị lạm dụng hoặc sử dụng sai mục đích khi bị chuyển ra nước ngoài. Tuy nhiên, chính sách này có thể vấp phải nhiều phản ứng từ phía các doanh nghiệp công nghệ nước ngoài. Điển hình là trường hợp Meta (trước đây là Facebook) và Google, hai công ty có lượng người dùng lớn tại Việt Nam nhưng không đặt trung tâm dữ liệu (data center) tại Việt Nam, trong khi có các trung tâm dữ liệu lớn ở nhiều quốc gia khác nhau. Do đó, nếu phải tuân thủ quy định lưu trữ dữ liệu trong nước, các doanh nghiệp này sẽ đối mặt với chi phí vận hành cao hơn, đồng thời phải điều chỉnh lại mô hình kinh doanh để phù hợp với yêu cầu pháp lý của Việt Nam.
Mặt khác, Việt Nam chưa có hiệp định hoặc khung hợp tác chính thức với các cơ quan bảo vệ dữ liệu như DPA (Data Protection Authorities) của EU hay FTC (Federal Trade Commission) của Mỹ. Điều này làm cho việc yêu cầu cung cấp thông tin hoặc hỗ trợ điều tra các vụ vi phạm xuyên biên giới khi dữ liệu bị thu thập, xâm phạm hoặc sử dụng trái phép bởi các tổ chức đặt tại nước ngoài gặp nhiều khó khăn. Đơn cử như vụ rò rỉ thông tin của hơn 41 triệu tài khoản Facebook tại Việt Nam vào năm 2020 bao gồm tên trường học, công việc, địa chỉ, tên tuổi và ID Facebook [14]. Vụ việc này đặt ra câu hỏi về trách nhiệm của Facebook trong việc bảo vệ dữ liệu người dùng Việt Nam. Tuy nhiên, do Facebook đặt trụ sở chính tại Mỹ, việc điều tra và yêu cầu hợp tác từ công ty này gặp nhiều trở ngại. Hơn hết, Việt Nam cũng không có cơ chế hợp tác cụ thể với các cơ quan bảo vệ dữ liệu của Mỹ hoặc EU, khiến cho việc yêu cầu cung cấp thông tin, xác minh và xử lý vụ vi phạm trở nên khó khăn. Hay như vụ rò rỉ dữ liệu của 5 triệu khách hàng của Thế Giới Di Động và Điện Máy Xanh vào năm 2018 [15], bao gồm số điện thoại, địa chỉ email và lịch sử giao dịch. Mặc dù các công ty này có trụ sở chính ở Việt Nam, tuy nhiên do nguồn máy chủ đặt ở nước ngoài, cơ quan chức năng gặp nhiều trở ngại trong việc điều tra.
Ngoài ra, EU quy định chặt chẽ về bảo vệ DLCN khi có sự chuyển giao qua biên giới (Điều 44 GDPR). Theo đó, việc chuyển DLCN ra ngoài lãnh thổ chỉ được phép thực hiện nếu quốc gia hoặc tổ chức nhận dữ liệu đảm bảo mức độ bảo vệ không thấp hơn mức độ bảo vệ DLCN mà EU yêu cầu. Chính sách này giúp bảo vệ quyền lợi của chủ dữ liệu, ngăn ngừa dữ liệu có thể bị xâm phạm hoặc sử dụng sai mục đích. Trong khi đó, Việt Nam hiện chưa xây dựng các quy định chi tiết về bảo vệ DLCN trong bối cảnh chuyển dữ liệu quốc tế. Mặc dù Luật An ninh mạng 2018 có các quy định về việc lưu trữ và bảo vệ DLCN trong lãnh thổ Việt Nam, nhưng chưa có tiêu chuẩn đồng bộ về mức độ bảo vệ khi dữ liệu được chuyển ra ngoài biên giới quốc gia. Điều này tạo ra sự thiếu đồng nhất trong quy trình giám sát và bảo vệ quyền lợi cá nhân, đặc biệt là trong bối cảnh toàn cầu hóa dữ liệu như hiện nay.
4. Hướng hoàn thiện pháp luật về bảo vệ dữ liệu cá nhân
Dù rằng Nghị định 13/2023/NĐ-CP đã có những bước tiến quan trọng trong bảo vệ DLCN, nhưng với những khoảng trống pháp lý hiện hữu, Việt Nam cần một chiến lược toàn diện để củng cố hệ thống quy định, nhằm đảm bảo cơ chế thực thi hiệu quả. Dựa trên các mô hình tiên tiến như GDPR của EU, CCPA của Mỹ và PDPC của Singapore, trong phạm vi bài viết này nhóm tác giả đề xuất một số kiến nghị nhằm hoàn thiện pháp luật như sau:
Một là, bổ sung các quy định chi tiết về quyền kiểm soát DLCN
Như các phân tích đã trình bày ở trên, một trong những khoảng trống trong hệ thống pháp luật Việt Nam hiện hành là thiếu các quy định cụ thể về quyền kiểm soát DLCN, bao gồm quyền được quên (right to be forgotten) và quyền di chuyển dữ liệu (data portability). GDPR đã thiết lập các quyền này như một phần không thể thiếu trong các quy định về bảo vệ DLCN, cho phép công dân có quyền yêu cầu xóa bỏ dữ liệu của mình khỏi các nền tảng trực tuyến hoặc chuyển dữ liệu sang nhà cung cấp dịch vụ khác. Ở Việt Nam, các quyền này hiện chưa được quy định đầy đủ, khiến người dùng gặp khó khăn trong việc kiểm soát thông tin cá nhân trên môi trường số. Thiết nghĩ, tại dự thảo Luật Bảo vệ dữ liệu cá nhân cần cụ thể hóa quyền được quên bằng cách xác định rõ các trường hợp cá nhân có quyền yêu cầu xóa dữ liệu, thiết lập trình tự, thủ tục thực hiện yêu cầu này. Đồng thời, quy định trách nhiệm pháp lý của bên thu thập và xử lý dữ liệu trong việc đáp ứng yêu cầu đó. Ngoài ra, cần quy định chi tiết về quyền di chuyển dữ liệu, trong đó yêu cầu tổ chức cung cấp dịch vụ trực tuyến phải bảo đảm cơ chế cho phép cá nhân xuất và chuyển dữ liệu sang nền tảng khác một cách thuận tiện, an toàn và minh bạch.
Hai là, phân định rõ quyền hạn của các cơ quan quản lý dữ liệu
Việc phân định rõ quyền hạn của các cơ quan quản lý dữ liệu là một yếu tố quan trọng nhằm nâng cao hiệu quả thực thi pháp luật. Hiện tại, quyền giám sát DLCN thuộc Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao của Bộ Công an, điều này có thể dẫn đến xung đột lợi ích trong quá trình xử lý thông tin, đặc biệt là trong các trường hợp liên quan đến dữ liệu của khu vực nhà nước. Mặt khác, việc phân tán quyền lực giữa các cơ quan quản lý như hiện nay làm cho công tác giám sát và giải quyết khiếu nại không đạt được hiệu quả cao. Thiết nghĩ, Nhà nước nên chủ trương thành lập một cơ quan bảo vệ DLCN độc lập, tương tự như các cơ quan giám sát dữ liệu tại EU (DPA), Anh (ICO), hay Singapore (PDPC). Một cơ quan chuyên trách độc lập sẽ giúp giám sát việc thực thi pháp luật, xử lý khiếu nại từ công dân và ban hành hướng dẫn phù hợp với sự phát triển công nghệ. Cơ quan này đồng thời sẽ phối hợp với các cơ quan quốc tế để đảm bảo tính toàn cầu trong bảo vệ DLCN.
Ba là, tăng cường chế tài xử phạt
Để bảo đảm tính răn đe và hiệu quả pháp luật trong lĩnh vực bảo vệ DLCN, cần thiết phải nâng mức xử phạt đối với các hành vi vi phạm có liên quan. Theo Nghị định 15/2020/NĐ-CP, mức phạt tối đa 100 triệu đồng đối với cá nhân và 200 triệu đồng đối với tổ chức, con số này vẫn còn khá khiêm tốn so với lợi ích kinh tế mà bên vi phạm có được từ việc thu thập, sử dụng và khai thác trái phép DLCN. Trên thực tế, nhiều cá nhân, doanh nghiệp có thể tạo ra lợi nhuận lên đến hàng trăm triệu hoặc thậm chí hàng tỷ USD. Điều này dẫn đến sự bất cân xứng giữa chế tài xử phạt và lợi ích kinh tế thu được, làm suy giảm tính răn đe của pháp luật và không tạo động lực đủ mạnh để tuân thủ. Do đó, cần thiết phải nâng mức xử phạt hành chính, đồng thời xem xét áp dụng các biện pháp xử lý bổ sung như: đình chỉ hoạt động, tước giấy phép kinh doanh hoặc áp dụng hình thức xử phạt tỷ lệ thuận với doanh thu, tương tự như cách tiếp cận trong GDPR. Việc điều chỉnh này không chỉ giúp nâng cao hiệu lực thực thi pháp luật mà còn tạo ra một môi trường kinh doanh lành mạnh, bảo đảm quyền lợi của cá nhân và thúc đẩy sự phát triển bền vững nền kinh tế số Việt Nam.
Bốn là, thực hiện đánh giá tác động bảo vệ dữ liệu
Việc yêu cầu doanh nghiệp thực hiện đánh giá tác động của xử lý DLCN (DPIA) trước khi triển khai thu thập, khai thác dữ liệu là một biện pháp cấp thiết nhằm nhận diện và giảm thiểu các rủi ro bảo mật thông tin, góp phần bảo vệ quyền lợi của công dân. DPIA không chỉ giúp đánh giá một cách có hệ thống các tác động tiềm năng của hoạt động xử lý dữ liệu đối với quyền riêng tư của người dùng, mà còn giúp minh bạch hóa quy trình xử lý, từ đó tạo ra một nền tảng vững chắc cho việc tuân thủ pháp luật và nâng cao ý thức bảo vệ DLCN. Hơn hết DPIA đóng vai trò quan trọng trong việc xây dựng cam kết trách nhiệm xã hội đối với doanh nghiệp.
Năm là, tăng cường hợp tác quốc tế
Bên cạnh các giải pháp trong nước, Việt Nam cũng cần tăng cường hợp tác quốc tế về bảo vệ DLCN, đặc biệt trong bối cảnh dữ liệu luân chuyển xuyên biên giới ngày càng phổ biến. Việc tham gia vào các cơ chế như APEC Cross Border Privacy Rules (CBPR) hay ASEAN Data Management Framework (DMF) sẽ giúp Việt Nam hài hòa pháp luật với tiêu chuẩn khu vực và quốc tế, tạo điều kiện thuận lợi cho thương mại số. Ngoài ra, phát triển các thỏa thuận hợp tác về chia sẻ thông tin giữa các cơ quan bảo vệ dữ liệu quốc tế giúp tăng cường hiệu quả trong việc điều tra và xử lý vi phạm liên quan đến DLCN.
Sáu là, đào tạo và nâng cao nhận thức
Cuối cùng, việc nâng cao nhận thức của người dân về bảo vệ DLCN đóng vai trò nền tảng trong quá trình xây dựng và hoàn thiện pháp luật về bảo vệ quyền riêng tư. Các chương trình đào tạo, tuyên truyền phổ biến quy định pháp luật sẽ giúp nâng cao hiểu biết về quyền, nghĩa vụ của người dân trong việc quản lý và bảo vệ thông tin cá nhân. Đồng thời, trang bị các kỹ năng bảo vệ DLCN bao gồm: khả năng nhận diện các nguy cơ tiềm ẩn trên không gian mạng, áp dụng các biện pháp bảo mật mạnh như sử dụng mật khẩu có độ phức tạp cao, xác thực đa yếu tố, kiểm soát quyền truy cập các ứng dụng, và hơn hết là cẩn trọng khi chia sẻ thông tin trên các nền tảng trực tuyến. Khi mỗi cá nhân có đủ hiểu biết và chủ động thực hiện các biện pháp tự bảo vệ DLCN, nguy cơ vi phạm sẽ được giảm thiểu đáng kể, góp phần hình thành một môi trường số an toàn, minh bạch và hiệu quả.
5. Kết luận
Trong bối cảnh chuyển đổi số quốc gia và sự phát triển mạnh mẽ của nền kinh tế số, bảo vệ DLCN ngày càng trở thành vấn đề trọng yếu, không chỉ trong phạm vi quốc gia mà còn trên quy mô toàn cầu. Nghị quyết 57-NQ/TW ngày 22/12/2024 của Bộ Chính trị về đột phá phát triển khoa học, công nghệ, đổi mới sáng tạo và chuyển đổi số quốc gia cũng đã chỉ rõ tầm quan trọng của khung pháp lý về bảo vệ DLCN. Chính vì vậy, việc hoàn thiện pháp luật liên quan đến vấn đề này vừa là yêu cầu tất yếu, vừa là yếu tố then chốt giúp Việt Nam xây dựng một nền kinh tế số an toàn, minh bạch và đáng tin cậy. Một hệ thống pháp luật toàn diện không chỉ giúp bảo vệ quyền riêng tư của công dân, mà còn nâng cao năng lực cạnh tranh của doanh nghiệp trong xu hướng toàn cầu hóa, quốc tế hóa hiện nay.
TÀI LIỆU THAM KHẢO
[1] Hà Văn (2025). Kinh tế số Việt Nam tăng trưởng nhanh nhất khu vực. Báo Điện tử Chính phủ. https://baochinhphu.vn/kinh-te-so-viet-nam-tang-truong-nhanh-nhat-khu-vuc-102250206152332651.htm [truy cập ngày 02/4/2025]
[2] Phan Anh (2024). Phát hiện hàng nghìn GB dữ liệu cá nhân bị thu thập, mua bán trái phép trong đó có nhiều dữ liệu nhạy cảm. Tạp chí điện tử của Hội Khoa học Kinh tế Việt Nam. https://vneconomy.vn/phat-hien-hang-nghin-gb-du-lieu-ca-nhan-bi-thu-thap-mua-ban-trai-phep-trong-do-co-nhieu-du-lieu-nhay-cam.htm [truy cập ngày 30/3/2025]
[3] Tiểu Minh (2025). Các vụ vi phạm dữ liệu lớn nhất năm 2025 có thể bạn chưa biết. Báo điện tử Pháp Luật Thành phố Hồ Chí Minh. https://plo.vn/ky-nguyen-so/cac-vu-vi-pham-du-lieu-lon-nhat-nam-2025-co-the-ban-chua-biet-post836990.html [truy cập ngày 31/3/2025]
[4] Bảo Ngọc, Danh Trọng, Khánh Quỳnh và Thành Chung (2024). Luật hóa việc bảo vệ dữ liệu cá nhân. Báo Tuổi trẻ online. https://tuoitre.vn/luat-hoa-viec-bao-ve-du-lieu-ca-nhan-20240708081704412.htm [truy cập ngày 22/3/2025]
[5] Phan Anh (2024). Hơn 61 triệu tài khoản, bản ghi thông tin cá nhân bị lộ lọt trong nửa đầu năm 2024. Tạp chí điện tử của Hội Khoa học Kinh tế Việt Nam. https://vneconomy.vn/hon-61-trieu-tai-khoan-ban-ghi-thong-tin-ca-nhan-bi-lo-lot-trong-nua-dau-nam-2024.htm [truy cập ngày 21/3/2025]
[6] Vũ Công Giao và Lê Trần Như Tuyên (2020). Bảo vệ quyền đối với dữ liệu cá nhân trong pháp luật quốc tế, pháp luật ở một số quốc gia và giá trị tham khảo cho Việt Nam. Tạp chí Nghiên cứu Lập pháp. https://lapphap.vn/Pages/TinTuc/210546/Bao-ve-quyen-doi-voi-du-lieu-ca-nhan-trong-phap-luat-quoc-te--phap-luat-o-mot-so-quoc-gia-va-gia-tri-tham-khao-cho-Viet-Nam.html [truy cập ngày 06/4/2025]
[7] Paul M. Schwartz & Daniel J. Solove (2014). Reconciling Personal Information in the United States and European Union, California Law Review.
[8] Lê Khánh Linh, Trương Huỳnh Nga, Nguyễn Minh Tâm, Hoàng Thảo Anh, Trần Kiên (2021). Bộ luật Dân sự Trung Quốc Bản dịch và lược giải. Nhà xuất bản Đại học Quốc Gia Hà Nội.
[9] Vũ Quỳnh (2020). Dữ liệu cá nhân hay thông tin cá nhân?. Báo điện tử Đại biểu Nhân dân. https://daibieunhandan.vn/du-lieu-ca-nhan-hay-thong-tin-ca-nhan-post256280.html [truy cập ngày 22/3/2025]
[10] Khoản 3 Điều 2 Nghị định 13/2023/NĐ-CP của Chính phủ ngày 17/4/2023 về bảo vệ dữ liệu cá nhân.
[11] Khoản 4 Điều 2 Nghị định 13/2023/NĐ-CP của Chính phủ ngày 17/4/2023 về bảo vệ dữ liệu cá nhân.
[12] Hải Lan (2025). Triệt phá đường dây mua bán gần 56 triệu thông tin dữ liệu cá nhân. Báo Công an nhân dân online. https://cand.com.vn/ban-tin-113/triet-pha-duong-day-mua-ban-gan-56-trieu-thong-tin-du-lieu-ca-nhan-i758805/ [truy cập ngày 30/3/2025]
[13] Nguyễn Minh Nhật (2024). Nền kinh tế dữ liệu: Mở ra tương lai của việc tạo ra giá trị dựa trên thông tin, từ Tạp chí Thông tin và Truyền thông, tháng 6/2024 (số 6), trang 56.
[14] Bích Thủy (2020). Rò rỉ dữ liệu của 41 triệu người dùng Facebook Việt Nam. https://mic.gov.vn/ro-ri-du-lieu-cua-41-trieu-nguoi-dung-facebook-viet-nam-197143736.htm [truy cập lần cuối ngày 05/4/2025]
[15] Thanh Mai (2018). Rò rỉ thông tin dữ liệu nghi là của khách hàng Thế Giới Di Động. Tạp chí An toàn thông tin: https://antoanthongtin.vn/an-toan-thong-tin/ro-ri-thong-tin-du-lieu-nghi-la-cua-khach-hang-the-gioi-di-dong-104914 [truy cập lần cuối ngày 31/3/2025]
Thạc sĩ TRẦN THỊ THANH BÍCH
ĐÀO THỊ ANH THƯ
Đại học Kinh tế TP. HCM