Bài 2: Luật Bảo vệ dữ liệu cá nhân – Dấu mốc trong hoàn thiện thể chế

Luật Bảo vệ dữ liệu cá nhân, tấm khiên của công dân số: Bài 1: Dữ liệu cá nhân – “Mỏ vàng” dễ bị đánh cắp

Sự cần thiết ban hành Luật Bảo vệ dữ liệu cá nhân

Dữ liệu cá nhân là vấn đề liên quan tới chặt chẽ tới quyền con người, quyền công dân, an toàn, an ninh mạng, an ninh thông tin, an ninh dữ liệu, công nghệ thông tin và cách mạng công nghiệp lần thứ tư, chính phủ điện tử, chính phủ số, kinh tế số.

Bảo vệ dữ liệu cá nhân là một nội dung quan trọng của bảo vệ quyền con người, đã được ghi nhận xuyên suốt trong hệ thống pháp luật Việt Nam. Hiến pháp năm 2013 khẳng định rõ: “Mọi người có quyền bất khả xâm phạm về đời sống riêng tư, bí mật cá nhân và bí mật gia đình; có quyền bảo vệ danh dự, uy tín của mình. Thông tin về đời sống riêng tư, bí mật cá nhân, bí mật gia đình được pháp luật bảo đảm an toàn” (Điều 21). Đây là nền tảng hiến định khẳng định Nhà nước có trách nhiệm bảo vệ dữ liệu cá nhân như một phần không thể tách rời của quyền con người.

Bảo vệ dữ liệu cá nhân là một phần không thể tách rời của bảo vệ quyền con người

Bộ luật Dân sự năm 2015, tại các điều 38 và 39 cũng quy định việc thu thập, công bố thông tin về đời sống riêng tư của cá nhân phải được người đó đồng ý; nghiêm cấm hành vi tiết lộ, sử dụng thông tin vì mục đích trái pháp luật. Tuy nhiên, các quy định này mang tính khái quát, chưa phản ánh đầy đủ thực tiễn mới khi dữ liệu cá nhân được số hóa, lưu trữ và khai thác trên phạm vi toàn cầu.

Ở cấp độ luật chuyên ngành, nhiều văn bản pháp luật đã đề cập đến vấn đề bảo vệ thông tin cá nhân, song mục tiêu điều chỉnh của mỗi luật là khác nhau. Luật An ninh mạng năm 2018 chủ yếu nhằm bảo đảm an ninh quốc gia và trật tự an toàn xã hội trong không gian mạng. Luật Giao dịch điện tử (sửa đổi) năm 2023 điều chỉnh việc thiết lập, trao đổi và lưu trữ dữ liệu trong hoạt động giao dịch điện tử.

Luật Bảo vệ quyền lợi người tiêu dùng năm 2023 tập trung vào quan hệ giữa người tiêu dùng và tổ chức, cá nhân kinh doanh, còn Luật Công nghệ thông tin năm 2006 điều chỉnh việc phát triển và ứng dụng công nghệ thông tin trong đời sống xã hội. Mặc dù đều có nội dung liên quan đến thông tin cá nhân, nhưng mỗi đạo luật chỉ đề cập một khía cạnh, chưa có tính bao quát, thống nhất trong việc bảo vệ dữ liệu cá nhân.

Ngày 17.4.2023, Chính phủ ban hành Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân, đánh dấu bước khởi đầu cho việc xây dựng khung pháp lý trong lĩnh vực này. Nghị định đã quy định tương đối cụ thể các nguyên tắc xử lý dữ liệu, quyền của chủ thể dữ liệu, nghĩa vụ của tổ chức, cá nhân liên quan.

Tuy nhiên, với tư cách là văn bản dưới luật, Nghị định chỉ có hiệu lực trong phạm vi hành chính, chưa đủ tầm để điều chỉnh toàn bộ các quan hệ dân sự, thương mại, hình sự phát sinh từ hành vi xâm phạm dữ liệu cá nhân. Một số hành vi như mua bán, chiếm đoạt dữ liệu quy mô lớn, khai thác dữ liệu trái phép để trục lợi hoặc thực hiện hành vi phạm tội vẫn thiếu cơ sở pháp lý để xử lý triệt để.

Thực tiễn thi hành cho thấy, cơ quan chức năng gặp nhiều khó khăn trong việc xác định hành vi, trách nhiệm và thẩm quyền xử lý vi phạm. Các biện pháp xử phạt hành chính hiện hành chưa đủ sức răn đe; việc phối hợp giữa các bộ, ngành, nhất là trong xử lý vi phạm xuyên biên giới, còn thiếu cơ chế rõ ràng. Người dân – chủ thể dữ liệu – chưa có công cụ pháp lý hữu hiệu để bảo vệ quyền riêng tư, danh dự và tài sản của mình. Khoảng trống pháp lý đó không chỉ làm giảm hiệu lực quản lý nhà nước mà còn ảnh hưởng đến niềm tin của xã hội đối với sự an toàn của thông tin cá nhân.

Trong bối cảnh chuyển đổi số diễn ra sâu rộng trên hầu hết các lĩnh vực, dữ liệu cá nhân được chuyển lên môi trường điện tử thường xuyên, liên tục dẫn đến tình trạng lộ, mất dữ liệu cá nhân diễn ra phổ biến trong quá trình chuyển giao, lưu trữ, trao đổi phục vụ hoạt động kinh doanh hoặc do biện pháp bảo vệ không tương xứng dẫn tới bị chiếm đoạt và đăng tải công khai.

Đảng và Nhà nước đã ban hành nhiều văn bản chỉ đạo vấn đề này, theo hướng bảo đảm an ninh mạng lấy con người, trí tuệ con người làm trung tâm, là nhân tố quyết định, hoàn thiện hành lang pháp lý trong bảo vệ dữ liệu cá nhân. Bảo vệ dữ liệu cá nhân được tiến hành song song, đồng thời với sự phát triển kinh tế, xã hội, đi liền với tất cả các khâu, quá trình nhưng phải đảm bảo không hạn chế sự phát triển, đổi mới và sáng tạo.

Tạo hành lang pháp lý thống nhất

Sau quá trình chuẩn bị công phu và tham vấn rộng rãi, ngày 26.6.2025, Quốc hội khóa XV, kỳ họp thứ 9 đã thông qua Luật Bảo vệ dữ liệu cá nhân. Việc Quốc hội thông qua đạo luật này được đánh giá là hết sức cần thiết nhằm đáp ứng yêu cầu bảo vệ quyền dữ liệu cá nhân; ngăn chặn các hành vi xâm phạm dữ liệu cá nhân, gây ảnh hưởng đến quyền và lợi ích của cá nhân, tổ chức; đồng thời nâng cao trách nhiệm của các cơ quan, tổ chức và cá nhân có liên quan.

Quốc hội khóa XV, kỳ họp thứ 9 đã thông qua Luật Bảo vệ dữ liệu cá nhân

Luật Bảo vệ dữ liệu cá nhân bao gồm 5 Chương với 39 Điều, quy định về dữ liệu cá nhân; bảo vệ dữ liệu cá nhân; quyền, nghĩa vụ, trách nhiệm của cơ quan, tổ chức, cá nhân có liên quan. Đây là văn bản luật đầu tiên ở Việt Nam quy định chuyên biệt về dữ liệu cá nhân và bảo vệ dữ liệu cá nhân. Do vậy, đây là công cụ pháp lý thiết yếu để các chủ thể pháp luật trong việc bảo vệ quyền riêng tư của mình trong bối cảnh chuyển đổi số.

Đối với các cơ quan quản lý, việc luật định các nội dung, thẩm quyền quản lý nhà nước về bảo vệ dữ liệu cá nhân, đặc biệt là chế tài xử lý đối với các hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân sẽ góp phần ngăn chặn và xử lý kịp thời các hành vi xâm phạm dữ liệu cá nhân.

Luật Bảo vệ dữ liệu cá nhân không chỉ áp dụng với tổ chức, cá nhân trong nước, mà còn mở rộng phạm vi điều chỉnh tới các tổ chức, cá nhân nước ngoài có hoạt động xử lý dữ liệu cá nhân của công dân Việt Nam hoặc người gốc Việt chưa xác định được quốc tịch đang sinh sống tại Việt Nam đã được cấp giấy chứng nhận căn cước. Đây là điểm tiệm cận với các tiêu chuẩn bảo vệ dữ liệu quốc tế như GDPR của châu Âu, khẳng định vai trò chủ động của Việt Nam trong bảo vệ thông tin người dùng trong kỷ nguyên xuyên biên giới.

Luật cũng phân loại dữ liệu thành hai nhóm dữ liệu cơ bản là dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm. Đặc biệt, Luật đưa ra quy định riêng cho từng ngành nghề như: tuyển dụng, quản lý, sử dụng người lao động, tài chính – ngân hàng, y tế, quảng cáo, trong xử lý dữ liệu lớn, trí tuệ nhân tạo, chuỗi khối, vũ trụ ảo, điện toán đám mây… Qua đó, giúp các tổ chức triển khai đúng chuẩn bảo mật trong lĩnh vực hoạt động của mình, tránh rủi ro pháp lý.

Để bảo vệ dữ liệu cá nhân, Luật đưa ra mức phạt rất cao nhằm răn đe hành vi xâm phạm dữ liệu cá nhân: phạt hành chính lên tới 3 tỷ đồng hoặc 10 lần doanh thu bất hợp pháp; phạt tối đa 5% doanh thu năm trước trong trường hợp vi phạm chuyển dữ liệu cá nhân ra nước ngoài. Trường hợp nghiêm trọng, tổ chức, cá nhân có thể bị xử lý hình sự và yêu cầu bồi thường thiệt hại dân sự.

Luật Bảo vệ dữ liệu cá nhân là bước tiến quan trọng của Việt Nam trong xây dựng môi trường pháp lý số minh bạch, tin cậy và phù hợp thông lệ quốc tế. Bảo vệ dữ liệu cá nhân là vấn đề được các tổ chức và nhiều quốc gia trên thế giới quan tâm, đã có hơn 140 quốc gia ban hành văn bản quy phạm pháp luật về bảo vệ dữ liệu cá nhân, nhiều văn bản có quy định áp dụng đối với tổ chức, cá nhân Việt Nam.

Luật Bảo vệ dữ liệu cá nhân đảm bảo tương thích với các điều ước quốc tế về quyền con người như: Tuyên ngôn quốc tế nhân quyền năm 1948 (Điều 12), Công ước quốc tế về các quyền dân sự và chính trị năm 1966 (ICCPR, Điều 17), Công ước của Liên hợp quốc về quyền trẻ em (Điều 16), Công ước về quyền của người khuyết tật (Điều 22).

Bên cạnh đó, Luật quy định quy định về lưu chuyển dữ liệu qua biên giới phù hợp với các hiệp định thương mại tự do thế hệ mới (FTAs) như Hiệp định thương mại tự do giữa Việt Nam và Liên minh châu Âu; Hiệp định Đối tác Toàn diện và Tiến bộ xuyên Thái Bình Dương...

Luật Bảo vệ dữ liệu cá nhân ra đời đã hoàn thiện hệ thống pháp luật về bảo vệ dữ liệu cá nhân của nước ta, tạo hành lang pháp lý cho công tác bảo vệ dữ liệu cá nhân, ngăn chặn các hành vi xâm phạm dữ liệu cá nhân, gây ảnh hưởng đến quyền và lợi ích của cá nhân, tổ chức. Đây cũng là cơ sở để nâng cao năng lực bảo vệ dữ liệu cá nhân cho các tổ chức, cá nhân trong nước tiếp cận trình độ quốc tế, khu vực; đẩy mạnh sử dụng dữ liệu cá nhân đúng pháp luật phục vụ phát triển kinh tế, xã hội.

HOÀNG HƯƠNG