Tóm tắt: Trong thời đại số, dữ liệu cá nhân đã trở thành tài nguyên quan trọng, được thu thập, xử lý và lưu trữ rộng rãi bởi cả Nhà nước và khu vực tư nhân. Ở Việt Nam, Nghị định 13/2023/NĐ-CP (“Nghị định về bảo vệ dữ liệu cá nhân”) và Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15 đã được Quốc hội Việt Nam thông qua là hai văn bản pháp lý chủ đạo trong việc xây dựng khung pháp luật bảo vệ dữ liệu cá nhân. Song, thực tiễn áp dụng cho thấy vẫn tồn tại nhiều khoảng trống pháp lý và thách thức: phân loại dữ liệu nhạy cảm chưa rõ ràng; quyền của chủ thể dữ liệu chưa được đảm bảo đầy đủ; cơ chế quản lý, giám sát, xử lý vi phạm chưa đủ mạnh; các quy định liên quan tới chuyển giao dữ liệu xuyên biên giới và mức độ minh bạch trong xử lý dữ liệu còn giới hạn; năng lực thực thi và nhận thức xã hội còn hạn chế. Bài viết phân tích các nội dung pháp luật hiện hành liên quan đến bảo vệ dữ liệu cá nhân tại Việt Nam, xác định các khoảng trống về mặt luật định và thực tiễn… Từ đó đề xuất một số giải pháp hoàn thiện pháp luật và thực thi pháp luật Bảo vệ dữ liệu cá nhân trong điều kiện mới.
Từ khóa: Bảo vệ dữ liệu cá nhân; Việt Nam; Nghị định 13/2023/NĐ-CP; Luật Bảo vệ dữ liệu cá nhân; khoảng trống pháp luật; quyền chủ thể dữ liệu; hoàn thiện.
Ảnh minh họa - TL
Trong bối cảnh dữ liệu cá nhân ngày càng trở thành nguồn lực quan trọng cho phát triển kinh tế - xã hội, đồng thời cũng là mục tiêu bị xâm hại phổ biến trong môi trường số, Việt Nam đã có những bước đi mạnh mẽ nhằm hình thành và hoàn thiện hệ thống pháp luật về bảo vệ dữ liệu cá nhân. Bước ngoặt quan trọng diễn ra khi Chính phủ ban hành Nghị định số 13/2023/NĐ-CP ngày 17/4/2023 về bảo vệ dữ liệu cá nhân, có hiệu lực từ ngày 1/7/2023. Đây được coi là văn bản pháp lý đầu tiên chuyên biệt điều chỉnh toàn diện hoạt động bảo vệ dữ liệu cá nhân ở Việt Nam. Nghị định 13 đã xác định rõ các khái niệm cơ bản, bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm, qua đó đặt nền tảng cho việc phân loại và áp dụng các biện pháp bảo vệ phù hợp. Các quyền và nghĩa vụ của chủ thể dữ liệu – tức cá nhân có dữ liệu được xử lý – được quy định khá chi tiết, bao gồm quyền được biết, quyền đồng ý, quyền truy cập, chỉnh sửa, xóa dữ liệu, cũng như quyền yêu cầu bồi thường thiệt hại nếu dữ liệu bị xử lý trái phép. Song song với đó, nghị định cũng xác định nghĩa vụ của các bên kiểm soát dữ liệu, bên xử lý dữ liệu và bên thứ ba, trong đó nhấn mạnh trách nhiệm áp dụng các biện pháp kỹ thuật, quản lý nhằm bảo mật dữ liệu, ghi nhật ký quá trình xử lý, thực hiện mã hóa dữ liệu nhạy cảm, và đặc biệt là nghĩa vụ chứng minh việc tuân thủ các nguyên tắc xử lý dữ liệu.
Khung pháp luật hiện tại
-Luật gốc/Văn bản chuyên biệt: Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15 đã được Quốc hội Việt Nam thông qua. Luật này chính thức có hiệu lực từ ngày 01/01/2026. Trước khi có Luật này, có Nghị định 13/2023/NĐ‑CP về bảo vệ dữ liệu cá nhân.
-Các nguyên tắc, quyền và nghĩa vụ: Luật 2025 quy định các nguyên tắc bảo vệ dữ liệu cá nhân như: Thu thập, xử lý dữ liệu đúng phạm vi, mục đích cụ thể, rõ ràng. Đảm bảo tính chính xác, có quyền chỉnh sửa hoặc cập nhật. Thực hiện các biện pháp về kỹ thuật, con người, thể chế để bảo vệ dữ liệu. Quyền của chủ thể dữ liệu như biết, đồng ý, rút lại đồng ý, xem/chỉnh sửa dữ liệu, yêu cầu xóa, hạn chế xử lý, phản đối xử lý.
-Văn bản phụ trợ / các luật liên quan: Gồm Luật An toàn thông tin, Luật An ninh mạng, các nghị định xử phạt hành chính, các Bộ luật như Bộ luật Hình sự liên quan các tội vi phạm dữ liệu.
Những khoảng trống / hạn chế pháp lý hiện nay
Mặc dù Việt Nam đã có những bước tiến đáng ghi nhận trong việc hình thành khuôn khổ pháp luật về bảo vệ dữ liệu cá nhân, song trên thực tế vẫn còn tồn tại nhiều khoảng trống cả về quy phạm và thực thi. Các khoảng trống này nếu không được kịp thời khắc phục sẽ gây khó khăn cho việc đảm bảo quyền lợi của cá nhân, cản trở hoạt động của doanh nghiệp, làm giảm niềm tin của xã hội đối với quá trình chuyển đổi số. Cụ thể:
- Thiếu sự đồng bộ, thống nhất khái niệm: Trước khi Luật 2025, có nhiều văn bản quy phạm pháp luật liên quan đến dữ liệu cá nhân nhưng dùng khái niệm khác nhau, định nghĩa không rõ ràng, chưa thống nhất giữa các văn bản. Ví dụ: “dữ liệu cá nhân”, “dữ liệu nhạy cảm”, “xử lý dữ liệu”, “chuyển giao dữ liệu xuyên biên giới” v.v. chưa được quy định cụ thể hoặc đồng bộ ở mức luật/ nghị định trước đây.
- Chuyển giao dữ liệu ra ngoài lãnh thổ / dữ liệu xuyên biên giới: Đây là một trong những khoảng trống lớn, trước khi Luật mới, chưa có văn bản rõ ràng về việc chuyển giao dữ liệu cá nhân ra khỏi biên giới, hoặc quy định ẩn danh/phi danh tính hóa dữ liệu khi chuyển giao ra nước ngoài. Việc thực thi, kiểm soát dữ liệu được xử lý, lưu trữ tại nước ngoài cũng là vấn đề khó khăn.
- Chế tài xử pháp chưa đủ mạnh, thiếu tính răn đe: Mức phạt hành chính cao nhất trước đây còn thấp (ví dụ Nghị định 15/2020/NĐ‑CP) so với thiệt hại tiềm năng từ việc vi phạm dữ liệu. Một số hành vi vi phạm dữ liệu cá nhân chưa được quy định rõ trong Bộ luật Hình sự; hoặc nếu có thì mức phạt chưa phản ánh đầy đủ tính nghiêm trọng trong từng tình huống cụ thể.
- Vùng xám pháp lý, thực thi khó khăn: Trước khi Luật 2025 có hiệu lực, nhiều hoạt động xử lý dữ liệu cá nhân nằm trong “vùng xám” vì chưa có luật chuyên biệt hoặc các văn bản hướng dẫn cụ thể. Nhận thức của người dân, doanh nghiệp về quyền dữ liệu, trách nhiệm của bên xử lý dữ liệu, bảo vệ dữ liệu còn hạn chế. Việc kiện toàn tổ chức thực thi, cơ quan giám sát chưa rõ ràng hoàn toàn.
- Bảo vệ trong môi trường số và công nghệ mới: Công nghệ mới như AI, dữ liệu hành vi, nhân dạng kỹ thuật số, Internet of Things, thiết bị thông minh… phát sinh dữ liệu cá nhân rất lớn, mà luật chưa kịp cập nhật hoặc quy định chi tiết. Việc khai thác dữ liệu hành vi, dữ liệu từ các ứng dụng, quảng cáo nhắm mục tiêu, phân tích dữ liệu lớn (big data) cũng đặt ra những câu hỏi về quyền sở hữu, quyền kiểm soát, trách nhiệm, mà phần lớn chưa được quy định chi tiết.
-Sự phối hợp quản lý, thực thi và giám sát: Rất nhiều văn bản, cơ quan liên quan: Bộ Công an, Bộ TT&TT, Bộ Tư pháp, các bộ ngành chuyên môn. Việc phân công, phối hợp thực thi trong thực tế chưa hoàn toàn rõ ràng. Cơ chế kiểm tra, giám sát thực thi luật trong thực tế; xử lý vi phạm cũng như quyền khiếu nại của người dân đôi khi thiếu minh bạch hoặc khó tiếp cận.
- Bất cập trong việc xác định danh mục dữ liệu nhạy cảm: Nghị định 13 và Dự luật PDPL đã đưa ra danh mục dữ liệu nhạy cảm, song vẫn chưa thực sự tương thích với thông lệ quốc tế. Tuy nhiên, các tiêu chí để xác định dữ liệu “nhạy cảm đặc biệt” như dữ liệu sinh trắc học, dữ liệu gen, dữ liệu định danh sinh học, dữ liệu sức khỏe tinh thần… lại chưa rõ ràng. Việc thiếu chuẩn hóa có thể dẫn đến tình trạng các cơ quan, tổ chức và doanh nghiệp hiểu và áp dụng khác nhau, làm giảm hiệu quả thực thi.
- Quyền lợi chủ thể dữ liệu – quyền truy cập, sửa chữa, xóa, quyền quên: Mặc dù Luật 2025 có quy định các quyền cho chủ thể dữ liệu, nhưng việc thực thi, quy trình để thực hiện các quyền này có thể gặp rào cản: chi phí, khả năng kỹ thuật, thiếu hướng dẫn cụ thể. Các quyền như “yêu cầu phản đối xử lý”, “hạn chế xử lý”, “xóa dữ liệu” trong thực tế còn thiếu các mẫu điển hình, quy trình rõ ràng, thời hạn xử lý…
- Quyền của chủ thể dữ liệu chưa được đảm bảo đầy đủ và nhất quán: Nghị định 13 và Dự luật PDPL đã thừa nhận một số quyền cơ bản của cá nhân đối với dữ liệu của mình, như quyền được thông tin, quyền đồng ý, quyền rút lại sự đồng ý. Tuy nhiên, một số quyền quan trọng khác lại chưa được làm rõ hoặc chưa có cơ chế thực thi cụ thể; nhà nước cũng chưa ban hành hướng dẫn cụ thể về thời hạn thực hiện, quy trình xử lý, hoặc chi phí phát sinh nếu có. Điều này khiến quyền lợi của cá nhân dễ bị xem nhẹ và khó bảo vệ trên thực tế.
Định hướng và giải pháp hoàn thiện
Dựa trên các khoảng trống và những thực tiễn hiện nay, dưới đây là một số đề xuất để hoàn thiện hệ thống pháp luật bảo vệ dữ liệu cá nhân tại Việt Nam:
1.Về phương hướng hoàn thiện pháp luật, Việt Nam cần xác định rõ quan điểm rằng bảo vệ dữ liệu cá nhân không chỉ là vấn đề kỹ thuật đơn thuần, mà trước hết là vấn đề pháp lý, chính trị, xã hội gắn liền với việc bảo đảm quyền cơ bản của con người. Bảo vệ dữ liệu cá nhân phải được đặt trong tổng thể chiến lược phát triển nhà nước pháp quyền xã hội chủ nghĩa, lấy con người làm trung tâm, đồng thời gắn liền với các mục tiêu phát triển kinh tế số, xã hội số và chính phủ số.
2.Về giải pháp, cần thiết phải tập trung vào các nhóm trọng tâm sau: (1) Tiếp tục hoàn thiện khung pháp luật theo Luật Bảo vệ dữ liệu cá nhân với tính chất là đạo luật chuyên ngành, có giá trị pháp lý cao, thay thế cho các nghị định, thông tư hiện hành. (2) Xây dựng cơ chế cơ quan quản lý độc lập về bảo vệ dữ liệu cá nhân, có đủ thẩm quyền và nguồn lực để giám sát, kiểm tra, thanh tra và xử lý vi phạm. (3) Tăng cường chế tài xử phạt và cơ chế bảo đảm thực thi pháp luật. (4) chú trọng đến việc hỗ trợ doanh nghiệp nhỏ và vừa (SMEs) trong quá trình tuân thủ pháp luật về bảo vệ dữ liệu cá nhân. (5) Đẩy mạnh nâng cao nhận thức xã hội và giáo dục về quyền dữ liệu cá nhân. (6) Coi trọng hợp tác quốc tế trong bảo vệ dữ liệu cá nhân.
3.Hoàn thiện khung pháp lý chuyên biệt và thể chế mạnh: Đảm bảo Luật Bảo vệ dữ liệu cá nhân thực sự là “luật gốc”, với nguyên tắc, định nghĩa chuẩn, yêu cầu rõ ràng. Xây dựng các văn bản hướng dẫn thi hành chi tiết, quy trình cụ thể cho các quyền của chủ thể dữ liệu. Thiết lập cơ quan quản lý độc lập hoặc có phòng chuyên trách giám sát việc thực thi.
4.Quy định rõ về chuyển giao dữ liệu xuyên biên giới: Luật cần quy định rõ các điều kiện để chuyển dữ liệu ra ngoại quốc: cam kết bảo mật, mã hóa, tiêu chuẩn quốc tế, quyền giám sát, trách nhiệm khi có vi phạm bên ngoài lãnh thổ. Cần có cơ chế đánh giá rủi ro, đánh giá tác động về quyền riêng tư khi chuyển giao dữ liệu.
5.Chế tài mạnh hơn, cụ thể hơn: Tăng mức phạt, bao gồm cả trách nhiệm hành chính, dân sự, hình sự tương xứng với thiệt hại do vi phạm. Xác định rõ trách nhiệm của người xử lý dữ liệu khi xảy ra vi phạm, kể cả trường hợp bên thứ ba, máy chủ nước ngoài. Thiết lập hệ thống phạt bổ sung như đình chỉ hoạt động xử lý dữ liệu, thu hồi giấy phép…
6. Cập nhật theo công nghệ mới: Có quy định rõ về việc xử lý dữ liệu hành vi, dữ liệu từ thiết bị thông minh, nhân dạng kỹ thuật số, AI, cookies, trackers. Yêu cầu minh bạch khi sử dụng các thuật toán xử lý dữ liệu cá nhân. Chuẩn hóa khái niệm “ẩn danh”, “phi danh tính hóa”, làm sao để khả thi trong thực tế.
7. Tăng cường nhận thức, năng lực thực thi: Tổ chức chiến dịch phổ biến pháp luật, nâng cao nhận thức của người dân, doanh nghiệp về quyền dữ liệu, bảo mật thông tin. Đào tạo cán bộ quản lý, xử lý dữ liệu (doanh nghiệp, cơ quan nhà nước) về kỹ thuật bảo mật và quy định pháp lý. Đầu tư hạ tầng bảo mật, tiêu chuẩn quốc tế cho máy chủ, trung tâm dữ liệu.
8. Tổ chức giám sát, trách nhiệm giải trình: Thiết lập cơ chế giám sát độc lập, có quyền thanh tra, kiểm toán các tổ chức xử lý dữ liệu. Bắt buộc tổ chức đánh giá tác động dữ liệu (Data Protection Impact Assessment) cho các dự án lớn, nhạy cảm. Minh bạch công khai vi phạm về dữ liệu; người dân có quyền phản ánh, khiếu nại.
9. Hài hoà giữa bảo vệ quyền riêng tư và phát triển kinh tế số: Luật cần cân nhắc giữa việc bảo vệ dữ liệu cá nhân và nhu cầu đổi mới sáng tạo, dịch vụ số; tránh quy định quá khắt khe làm cản trở phát triển. Xem xét các cơ chế khuyến khích doanh nghiệp thực hành bảo mật tốt, như chứng nhận, tiêu chuẩn, ưu đãi. Học hỏi các mô hình quốc tế như GDPR (EU), luật Singapore, luật tại các nước có nền kinh tế số phát triển.
Pháp luật về bảo vệ dữ liệu cá nhân ở Việt Nam đã có những bước tiến lớn với Nghị định 13/2023/NĐ-CP và Luật Bảo vệ dữ liệu cá nhân sẽ có hiệu lực từ năm 2026. Các văn bản này thiết lập nền tảng quan trọng cho quyền riêng tư, quyền chủ thể dữ liệu được tôn trọng, bảo vệ kỹ thuật và trách nhiệm xử lý dữ liệu. Tuy nhiên, các khoảng trống pháp lý và thực tiễn – từ phân loại dữ liệu nhạy cảm chưa đủ chuẩn, quyền chủ thể chưa toàn diện, chế tài chưa mạnh, đến năng lực thực thi và nhận thức xã hội còn hạn chế – là những thách thức cần được khắc phục.
Việc có Luật Bảo vệ dữ liệu cá nhân 2025 là một bước tiến rất quan trọng, thể hiện Việt Nam đang đi theo xu hướng quốc tế trong bảo vệ quyền riêng tư, an toàn thông tin, và đáp ứng nhu cầu phát triển kinh tế số. Nhưng “có luật” chỉ là khởi đầu, điều quan trọng là thi hành, bảo đảm chế tài đủ mạnh, phối hợp chặt chẽ giữa các cơ quan, và không ngừng cập nhật pháp luật theo công nghệ mới. Nếu thực hiện tốt, luật này không chỉ bảo vệ người dân mà còn tạo niềm tin cho doanh nghiệp, thúc đẩy đầu tư trong lĩnh vực công nghệ, dịch vụ dữ liệu, dịch vụ số./.
Luật gia Hoàng Minh Tiến
----------------------------
TÀI LIỆU THAM KHẢO:
1. Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân (có hiệu lực từ ngày 01/7/2023) – văn bản pháp lý đầu tiên chuyên biệt về dữ liệu cá nhân tại Việt Nam.
2. Luật Bảo vệ dữ liệu cá nhân 2025, có hiệu lực từ tháng 1/2026
3. Luật An ninh mạng năm 2018 – Điều chỉnh về việc thu thập, lưu trữ và xử lý dữ liệu người dùng, nhất là trong môi trường mạng.
4. Bộ luật Dân sự năm 2015 – Các quy định liên quan đến quyền nhân thân và quyền riêng tư (Điều 38, 39...).
5. Luật Bảo vệ quyền lợi người tiêu dùng 2023 (có hiệu lực từ 01/07/2024) – có các điều khoản mới liên quan đến việc thu thập và xử lý dữ liệu cá nhân của người tiêu dùng.
6. Luật Công nghệ thông tin 2006 – Tuy đã cũ, nhưng vẫn chứa đựng các nội dung nền tảng về quyền riêng tư và an toàn dữ liệu.
7. Tham khảo một số bài viết phân tích trên Báo Pháp luật Việt Nam, Thời báo Kinh tế Sài Gòn, Vietnamnet, VnExpress, Báo Đầu tư…
