Hàng rào pháp lý góp phần bảo vệ quyền con người trong quá trình chuyển đổi số quốc gia

Ảnh minh họa. Nguồn: lsvn.vn

1. Khái quát về Luật Bảo vệ dữ liệu cá nhân năm 2025

Để có thể làm chủ cuộc cách mạng công nghiệp lần thứ tư, Việt Nam cần đẩy mạnh quá trình chuyển đổi số và phát triển nền kinh tế số. Chuyển đổi số là một xu hướng phát triển tất yếu trong quá trình hội nhập kinh tế ngày càng sâu rộng của thế giới hiện đại. Dữ liệu cá nhân từ vị trí chưa thực sự được coi trọng, hiện nay trong bối cảnh mới đã trở thành một trong những nguồn chất liệu chủ yếu phục vụ công cuộc chuyển đổi số, phát triển kinh tế số, xây dựng xã hội số. Bên cạnh đó, sự phát triển nhanh chóng của khoa học công nghệ đã đặt ra những thách thức không nhỏ về quyền riêng tư, an toàn dữ liệu cá nhân và niềm tin của người dùng.

Trước năm 2025, Việt Nam chưa có luật bảo vệ dữ liệu cá nhân. Quy định về dữ liệu cá nhân và bảo vệ dữ liệu cá nhân chưa được nhận thức một cách thống nhất và nằm rải rác trong nhiều văn bản luật khác nhau, như: Bộ luật Dân sự, Luật An toàn thông tin mạng, Luật An ninh mạng, Luật Tiếp cận thông tin, Luật trẻ em,.... Thêm nữa, các quy định này còn chung chung, thiếu tính ràng buộc và thực thi. Đến năm 2023, Chính phủ ban hành văn bản dưới luật về bảo vệ dữ liệu cá nhân là Nghị định số 13/2023/NĐ-CP.

Dữ liệu cá nhân là vấn đề liên quan tới chặt chẽ tới quyền con người, quyền công dân, an toàn, an ninh mạng, an ninh thông tin, an ninh dữ liệu, công nghệ thông tin và cách mạng công nghiệp lần thứ tư, chính phủ điện tử, chính phủ số, kinh tế số. Khoản 2, Điều 14, Hiến pháp năm 2013 quy định: “Quyền con người, quyền công dân chỉ có thể bị hạn chế theo quy định của luật trong trường hợp cần thiết vì lý do quốc phòng, an ninh quốc gia, trật tự, an ninh xã hội, đạo đức xã hội, sức khỏe cộng đồng”. Trước sự gia tăng các hành vi xâm phạm dữ liệu cá nhân như lộ lọt thông tin tài khoản ngân hàng, hồ sơ y tế, tài khoản mạng xã hội,... đòi hỏi phải có một hệ thống pháp lý chuyên sâu, toàn diện và đủ mạnh. Xuất phát từ đòi hỏi cấp bách đó, Luật Bảo vệ dữ liệu cá nhân được kỳ vọng là một công cụ pháp lý nền tảng cho xây dựng xã hội số.

Việc Nhà nước ban hành Luật Bảo vệ dữ liệu cá nhân năm 2025 có thể xem là một bước tiến quan trọng nhằm cụ thể hóa chủ trương, quan điểm của Đảng trong Nghị quyết số 57-NQ/TW ngày 22/12/2024 của Bộ Chính trị về đột phá phát triển khoa học, công nghệ, đổi mới sáng tạo và chuyển đổi số quốc gia, Nghị quyết số 30-NQ/TW ngày 23/11/2022 của Bộ Chính trị về Chiến lược An ninh mạng quốc gia và cụ thể hóa quy định của Hiến pháp năm 2013 về bảo đảm quyền con người, quyền công dân, bảo vệ thông tin cá nhân trong môi trường số, đồng thời củng cố niềm tin của xã hội vào quá trình chuyển đổi số:

“1. Mọi người có quyền bất khả xâm phạm về đời sống riêng tư, bí mật cá nhân và bí mật gia đình; có quyền bảo vệ danh dự, uy tín của mình. Thông tin về đời sống riêng tư, bí mật cá nhân, bí mật gia đình được pháp luật bảo đảm an toàn.

2. Mọi người có quyền bí mật thư tín, điện thoại, điện tín và các hình thức trao đổi thông tin riêng tư khác. Không ai được bóc mở, kiểm soát, thu giữ trái luật thư tín, điện thoại, điện tín và các hình thức trao đổi thông tin riêng tư của người khác”[1].

Luật Bảo vệ dữ liệu cá nhân năm 2025 gồm 05 chương, 39 điều, quy định rõ ràng, toàn diện, đáp ứng yêu cầu thực tiễn của chuyển đổi số trên các nội dung chủ yếu sau:

Thứ nhất, Luật đảm bảo quyền con người trong thời đại số

Để bảo vệ quyền con người, quyền công dân trong thời đại số, Luật đã minh định khái niệm dữ liệu cá nhân, phân loại thành dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm. Theo đó, dữ liệu cá nhân cơ bản bao gồm các yếu tố nhân thân như họ tên, ngày sinh, địa chỉ, số điện thoại, email, dùng trong giao dịch và quan hệ xã hội, thuộc danh mục do Chính phủ ban hành. Còn dữ liệu cá nhân nhạy cảm như dữ liệu sinh trắc học, thông tin sức khỏe, tài chính, tôn giáo, vị trí địa lý, khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp đến quyền lợi của cá nhân hoặc tổ chức, cũng thuộc danh mục do Chính phủ quy định. Cách tiếp cận này đảm bảo tính linh hoạt, cho phép cập nhật danh mục theo sự phát triển công nghệ và thực tiễn.

Luật chính thức hóa quyền kiểm soát dữ liệu cá nhân của mỗi công dân. Chủ thể dữ liệu có quyền biết, quyền đồng ý, quyền rút lại sự đồng ý, quyền yêu cầu chỉnh sửa hoặc xóa dữ liệu, quyền phản đối xử lý dữ liệu... ví dụ như người dùng có quyền yêu cầu sàn thương mại điện tử xóa lịch sử giao dịch hoặc không chia sẻ thông tin cá nhân cho bên thứ ba. Những quyền này phù hợp với chuẩn mực quốc tế theo Bộ quy tắc chung của Liên minh châu Âu về bảo vệ dữ liệu (GDPR).

Thứ hai, bảo vệ dữ liệu cá nhân để khởi tạo niềm tin số

Bảo vệ dữ liệu cá nhân là việc cơ quan, tổ chức, cá nhân sử dụng lực lượng, phương tiện, biện pháp để phòng chống hoạt động xâm phạm dữ liệu cá nhân. Các chủ thể này thực hiện các hoạt động bảo vệ dữ liệu như tuyên truyền, hướng dẫn, bảo đảm, quản lý, vận hành, phòng ngừa, phát hiện, ngăn chặn, xử lý hành vi vi phạm quy định của pháp luật về bảo vệ dữ liệu cá nhân. Dữ liệu cá nhân nhất là dữ liệu cá nhân có tính nhạy cảm được bảo vệ, kiểm soát chặt chẽ hơn và cần có sự đồng thuận của chủ thể dữ liệu.

Khi cảm nhận sự an toàn, yên tâm trong quá trình sử dụng dịch vụ số, người dân sẽ sẵn sàng tham gia nền kinh tế số. Luật bảo vệ dữ liệu cá nhân quy định rõ ràng để các doanh nghiệp hoạt động trong lĩnh vực công nghệ tài chính (fintech), công nghệ giáo dục (edtech), công nghệ y tế (healthtech) xử lý dữ liệu một cách minh bạch, có trách nhiệm. Các tổ chức tín dụng phải áp dụng các biện pháp bảo mật để bảo vệ dữ liệu tài khoản của khách hàng, ngăn chặn các hành vi gian lận, chiếm đoạt tài sản. Thực tế, để xây dựng nền tảng cho kinh tế số phát triển, nhiều doanh nghiệp Việt Nam về công nghệ, tài chính, y tế, giáo dục... đã chủ động xây dựng chính sách bảo mật theo Luật để gia tăng niềm tin từ phía khách hàng.

Thứ ba, Luật quy định bảo vệ dữ liệu nhạy cảm đồng thời hạn chế rủi ro xâm phạm

Luật đưa ra định nghĩa và cơ chế bảo vệ đặc biệt đối với dữ liệu nhạy cảm, như: dữ liệu sinh trắc học, hồ sơ y tế, tài chính cá nhân. Các cơ sở y tế phải bảo mật thông tin sức khỏe của bệnh nhân, không được phép tiết lộ thông tin này cho bất kỳ bên thứ ba nào nếu không có sự đồng ý của bệnh nhân, trừ trường hợp được pháp luật cho phép. Đây là điểm tiến bộ vượt bậc so với quy định trước đây. Ví dụ: một bệnh viện khi chia sẻ hồ sơ bệnh án phải được sự cho phép cụ thể của bệnh nhân, nếu chia sẻ tùy tiện sẽ bị xử phạt.

Đồng thời, luật tăng cường trách nhiệm của chủ thể bảo vệ dữ liệu. Theo đó, các tổ chức, doanh nghiệp phải xây dựng chính sách bảo vệ dữ liệu, có người phụ trách bảo vệ dữ liệu (DPO), báo cáo rủi ro về dữ liệu, chịu trách nhiệm trước pháp luật nếu để xảy ra rò rỉ, thất thoát dữ liệu.

Thứ tư, Luật mở rộng phạm vi điều chỉnh đối với tổ chức nước ngoài

Luật quy định rõ tổ chức nước ngoài xử lý dữ liệu công dân Việt Nam phải tuân thủ luật này. Điều này thể hiện chủ quyền số quốc gia, bảo vệ công dân khỏi việc bị các nền tảng toàn cầu khai thác dữ liệu không kiểm soát. Ví dụ: một nền tảng mạng xã hội đặt máy chủ ở nước ngoài, nhưng có người dùng Việt Nam thì vẫn phải tuân thủ luật. Được xây dựng dựa trên các nguyên tắc và thông lệ quốc tế về bảo vệ dữ liệu cá nhân, quy định của luật giúp Việt Nam hội nhập sâu rộng hơn vào cộng đồng quốc tế trong lĩnh vực này.

Thứ năm, Luật quy định chế tài xử lý vi phạm chặt chẽ và nghiêm khắc

Trước thực trạng buôn bán, xử lý dữ liệu cá nhân tràn lan như hiện nay, việc không có chế tài xử lý hoặc chế tài xử lý không đủ sức răn đe sẽ không giải quyết được tình hình. Luật Bảo vệ dữ liệu cá nhân quy phạm đầy đủ các nội dung bảo vệ dữ liệu cá nhân. Các hành vi vi phạm quy định sẽ được căn cứ vào Luật để đề xuất các hình thức, biện pháp xử lý phù hợp. Theo đó, Luật quy định rõ mức phạt hành chính, xử lý hình sự đối với các hành vi vi phạm dữ liệu cá nhân. Điều này giúp tăng sức răn đe và thực thi nghiêm minh.

2.  Một số giải pháp thực thi Luật Bảo vệ dữ liệu cá nhân hiệu quả

Một là, hoàn thiện hệ thống văn bản hướng dẫn dưới luật

Để thực thi Luật bảo vệ dữ liệu cá nhân năm 2025 một cách hiệu quả, cần vượt qua nhiều thách thức như hoàn thiện thể chế, đòi hỏi về nhân lực, công nghệ và yêu cầu phối hợp, trong đó hoàn thiện thể chế đồng bộ là ưu tiên hàng đầu. Các cơ quan nhà nước có thẩm quyền cần nhanh chóng nghiên cứu ban hành  các văn bản dưới luật bao gồm các nghị định quy định chi tiết, thông tư quy định rõ về tiêu chuẩn kỹ thuật, quy trình xử lý, lưu trữ, xóa, chuyển dữ liệu cá nhân trong từng lĩnh vực ngành nghề cụ thể... Bên cạnh đó, ây dựng tiêu chí phân loại dữ liệu nhạy cảm, thời hạn lưu trữ và mức độ rủi ro theo từng lĩnh vực (tài chính, y tế, thương mại điện tử...). Đồng thời, làm rõ vai trò và trách nhiệm của các chủ thể: người kiểm soát, người xử lý và bên thứ ba.

Hai là, nâng cao năng lực quản lý và giám sát của cơ quan nhà nước

Luật Bảo vệ dữ liệu cá nhân tạo cơ sở pháp lý vững chắc để các cơ quan nhà nước thực hiện tốt chức năng, nhiệm vụ của mình, đồng thời tăng cường trách nhiệm giải trình và minh bạch trong hoạt động quản lý, cụ thể như thành lập hoặc củng cố cơ quan chuyên trách bảo vệ dữ liệu cá nhân, trực thuộc Bộ Công an hoặc Bộ  Khoa học và Công nghệ (từ 01/3/2025, Bộ TT&TT nhập với bộ KH&CN thành Bộ KH&CN), với chức năng thanh tra, giám sát và xử lý vi phạm. Trang bị công nghệ phân tích dữ liệu lớn (big data), AI giám sát vi phạm, truy xuất log hệ thống của các tổ chức có thu thập dữ liệu. Xây dựng cổng tiếp nhận khiếu nại và tố cáo vi phạm dữ liệu cá nhân từ người dân. Xây dựng cổng thông tin quốc gia về bảo vệ dữ liệu. Tổ chức các lớp đào tạo, bồi dưỡng cán bộ chuyên trách về dữ liệu cá nhân. Tăng chỉ tiêu cho các ngành phân tích dữ liệu, an toàn thông tin, an ninh mạng,.. .từ đó nâng cao năng lực quản lý và giám sát của cơ quan nhà nước trong việc xử lý dữ liệu cá nhân.

Luật Bảo vệ dữ liệu cá nhân xác định rõ trách nhiệm: Luật quy định cụ thể về trách nhiệm của các cơ quan nhà nước trong việc bảo vệ dữ liệu cá nhân, đặc biệt là trong các lĩnh vực như thu thập, lưu trữ, xử lý và bảo mật dữ liệu.

Luật Bảo vệ dữ liệu cá nhân tăng cường giám sát: Luật trao quyền cho các cơ quan nhà nước, đặc biệt là các cơ quan có chức năng giám sát, để theo dõi, kiểm tra việc thực hiện các quy định về bảo vệ dữ liệu cá nhân, từ đó phát hiện và xử lý kịp thời các vi phạm.

Bên cạnh đó, luật đã quy định minh bạch hóa hoạt động bằng việc yêu cầu các cơ quan nhà nước phải công khai, minh bạch trong việc xử lý dữ liệu cá nhân, đảm bảo quyền được biết, quyền được tiếp cận thông tin của người dân. Luật tạo cơ hội cho các cơ quan nhà nước nâng cao năng lực quản lý và giám sát dữ liệu cá nhân thông qua việc đào tạo, tập huấn, xây dựng hệ thống công nghệ thông tin phù hợp và áp dụng các biện pháp bảo mật tiên tiến.

Ba là, tăng cường trách nhiệm và chế tài xử lý vi phạm nghiêm minh

Vi phạm pháp luật về bảo vệ dữ liệu cá nhân có thể bị xử lý bằng nhiều hình thức, tùy thuộc vào tính chất và mức độ vi phạm, bao gồm xử lý kỷ luật, xử phạt hành chính, hoặc truy cứu trách nhiệm hình sự. Ngoài ra, người vi phạm còn có thể phải bồi thường thiệt hại theo quy định của pháp luật.

Các hình thức xử lý vi phạm bao gồm: (i) Xử lý kỷ luật: Áp dụng đối với cá nhân, tổ chức là cán bộ, công chức, viên chức vi phạm trong quá trình thực thi công vụ; (ii) Xử phạt vi phạm hành chính: Mức phạt có thể lên đến hàng tỷ đồng đối với tổ chức, và một nửa mức phạt của tổ chức đối với cá nhân. Ví dụ: mua bán dữ liệu cá nhân có thể bị phạt đến 10 lần khoản thu có được từ hành vi vi phạm. Mức phạt tối đa đối với các hành vi vi phạm khác là 3 tỷ đồng; (iii) Truy cứu trách nhiệm hình sự: Áp dụng đối với các hành vi vi phạm nghiêm trọng, gây hậu quả lớn, như tội đưa hoặc sử dụng trái phép thông tin trên mạng máy tính, mạng viễn thông, có thể bị phạt tù; (iv) Bồi thường thiệt hại: Tổ chức, cá nhân vi phạm phải bồi thường toàn bộ thiệt hại gây ra cho chủ thể dữ liệu cá nhân, bao gồm cả thiệt hại vật chất và tinh thần.

Luật quy định áp dụng chế tài nghiêm khắc bao gồm cả phạt hành chính ở mức cao, thu hồi giấy phép hoặc truy cứu trách nhiệm hình sự đối với hành vi sử dụng, buôn bán dữ liệu cá nhân trái phép.

Ngoài ra, thanh tra định kỳ đối với doanh nghiệp công nghệ, tổ chức tài chính - ngân hàng, đơn vị y tế, giáo dục..., những nơi có xử lý lượng dữ liệu lớn và công khai danh sách các tổ chức, cá nhân vi phạm để tạo hiệu ứng răn đe trong cộng đồng.

Bốn là, tăng cường phổ biến, tuyên truyền để nâng cao nhận thức cho các chủ thể

Luật Bảo vệ dữ liệu cá nhân năm 2025 là một bước tiến lớn trong quá trình hoàn thiện khung pháp lý về bảo vệ quyền riêng tư cá nhân, bảo mật thông tin cá nhân, an ninh mạng và bảo vệ người dùng. Để luật thực sự phát huy hiệu quả, cần đồng bộ các giải pháp ở cả cấp thể chế, thực thi và nhận thức xã hội. Nhận thức của người dùng còn hạn chế, chưa nắm được đầy đủ các quyền của mình. Do đó, các chủ thể có trách nhiệm cần tổ chức chiến dịch tuyên truyền trên truyền hình, mạng xã hội, trường học và cơ quan nhà nước về quyền bảo vệ dữ liệu cá nhân. Khuyến khích người dân tra cứu, kiểm tra dữ liệu cá nhân của mình qua các nền tảng chính thức. Đưa nội dung bồi dưỡng, giáo dục bảo vệ dữ liệu cá nhân vào chương trình giáo dục phổ thông và đào tạo công chức. Ban hành hướng dẫn chi tiết cho các ngành đặc thù (y tế, tài chính, giáo dục...).

Tăng cường truyền thông nâng cao nhận thức xã hội về quyền riêng tư và an toàn thông tin, nhất là hỗ trợ các doanh nghiệp, tổ chức, cá nhân cung cấp dịch vụ mạng xã hội, dịch vụ truyền thông trực tuyến thực hiện pháp luật như cung cấp hướng dẫn kỹ thuật, mẫu văn bản chấp thuận, quy trình xử lý sự cố rò rỉ dữ liệu. Lên kế hoạch tổ chức các khóa tập huấn không thu phí cho doanh nghiệp vừa và nhỏ (SMEs), giúp họ xây dựng hệ thống bảo mật phù hợp với Luật, đồng thời hỗ trợ đánh giá tác động bảo vệ dữ liệu cá nhân (DPIA) để phát hiện sớm rủi ro và biện pháp khắc phục.

Năm là, tăng cường hợp tác để tham khảo các bài học kinh nghiệm quốc tế

Bằng cách đầu tư đồng bộ, nâng cao nhận thức và tăng cường hợp tác quốc tế trong đào tạo nguồn nhân lực, nghiên cứu khoa học, ứng dụng khoa học và công nghệ để khắc phục tình trạng thiếu nhân lực có chuyên môn sâu về bảo vệ dữ liệu cho các tổ chức, doanh nghiệp nhất là các doanh nghiệp nhỏ và vừa. Trong khi việc giám sát tổ chức nước ngoài thực thi luật còn gặp khó khăn, luật đã quy định xây dựng cơ chế hợp tác quốc tế để tạo điều kiện cho thực thi có hiệu quả về bảo vệ dữ liệu cá nhân, tham gia tương trợ tư pháp về bảo vệ dữ liệu cá nhân của quốc gia khác. Bên cạnh đó, cần tham khảo Bộ quy tắc chung của Liên minh châu Âu về bảo vệ dữ liệu (GDPR) để thiết kế quy trình tuân thủ đơn giản, hiệu quả, nhưng đảm bảo quyền riêng tư người dùng. Ký kết thỏa thuận bảo vệ dữ liệu xuyên biên giới với các nước ASEAN và đối tác công nghệ lớn như Mỹ, Hàn Quốc, Nhật Bản. Thúc đẩy nghiên cứu và ứng dụng blockchain, mã hóa dữ liệu cá nhân, xác thực danh tính số an toàn. Thực thi tốt các quy định của Luật sẽ trở thành đòn bẩy cho Chiến lược chuyển đổi số quốc gia, góp phần xây dựng một hệ sinh thái số bền vững, an toàn, đáp ứng yêu cầu của kỷ nguyên công nghệ cao.

Tóm lại, Luật Bảo vệ dữ liệu cá nhân là một bước đi đột phá, là nền tảng pháp lý cốt lõi của Việt Nam trong việc xây dựng một xã hội số an toàn, tin cậy và tôn trọng quyền con người. Bằng cách tạo ra một “hàng rào pháp lý” bảo vệ dữ liệu cá nhân, luật không chỉ góp phần củng cố niềm tin xã hội vào chuyển đổi số mà còn tạo điều kiện để Việt Nam hội nhập sâu rộng vào thị trường số toàn cầu. Điều quan trọng là việc hiện thực hóa các quy định pháp luật trong thực tiễn giúp mỗi người dân, mỗi doanh nghiệp, tổ chức bên cạnh cơ quan quản lý nhà nước đều trở thành chủ thể có trách nhiệm trong việc bảo vệ dữ liệu, thứ tài sản quý giá được ví như nguồn dầu mỏ vàng trong kỷ nguyên số./.