Thứ nhất, luận điệu “Việt Nam bắt chước Trung Quốc” là vô căn cứ, bởi Việt Nam không áp dụng mô hình cực đoan, không cấm đoán Facebook, Google, YouTube, mà duy trì môi trường mạng cởi mở, bảo đảm quyền tự do ngôn luận và giao dịch của công dân. Thứ hai, quy định lưu trữ dữ liệu trong nước không trái cam kết quốc tế, phù hợp thông lệ toàn cầu và tiệm cận chuẩn mực GDPR về quyền riêng tư. Thứ ba, cáo buộc “vi phạm nhân quyền” bị bác bỏ bởi Hiến pháp và pháp luật Việt Nam đã khẳng định đầy đủ quyền con người, quyền công dân. Cuối cùng, quá trình xây dựng luật dữ liệu được tiến hành công khai, minh bạch, có tham vấn xã hội, khẳng định Việt Nam lựa chọn con đường riêng, hài hòa giữa bảo vệ chủ quyền số và thúc đẩy phát triển kinh tế số.
1. Trong kỷ nguyên số, dữ liệu đã trở thành “nguồn tài nguyên mới” quyết định sức mạnh quốc gia và năng lực cạnh tranh toàn cầu. Các cường quốc từ Mỹ, Liên minh Châu Âu đến Nhật Bản, Hàn Quốc, Trung Quốc đều sớm ban hành khung pháp luật nhằm bảo vệ chủ quyền dữ liệu và thúc đẩy phát triển kinh tế số. Việt Nam, với dân số trẻ và tốc độ số hóa nhanh, đang đứng trước cả cơ hội lẫn thách thức trong quản trị dữ liệu. Sự ra đời của Luật Dữ liệu 2024 vì thế mang ý nghĩa thời đại: tiếp thu tinh hoa kinh nghiệm quốc tế, kế thừa thành tựu pháp luật trong nước, đồng thời khẳng định lựa chọn con đường riêng, cân bằng giữa phát triển và bảo vệ chủ quyền số. Đây là nền tảng pháp lý quan trọng để kiến tạo tương lai số an toàn, minh bạch và thịnh vượng cho đất nước.
Tuy nhiên, cùng với sự kiện quan trọng này, đã xuất hiện một số ý kiến xuyên tạc cho rằng chính sách pháp luật về dữ liệu của Việt Nam chỉ đơn thuần “bắt chước Trung Quốc”, đi ngược các tiêu chuẩn quốc tế, xâm phạm quyền riêng tư, tự do ngôn luận của công dân và thiếu minh bạch pháp lý.
 |
Tờ Nikkei Asia cho rằng Việt Nam ban hành Luật Dữ liệu là “học theo” Trung Quốc. |
Trái với lo ngại rằng Việt Nam đang mô phỏng cách tiếp cận “đóng cửa” Internet như Trung Quốc, thực tế pháp luật Việt Nam không hề cấm người dân truy cập các mạng xã hội toàn cầu như Facebook, Google, YouTube. Từ Luật An ninh mạng năm 2018 (bị các thế lực thù địch công kích nhiều nhất) đến Luật Dữ liệu 2024 mới đây, Việt Nam không đặt ra bất kỳ điều khoản nào nhằm chặn hay cấm đoán việc sử dụng dịch vụ Internet nước ngoài. Có thể nói rõ, quyền tự do ngôn luận của công dân luôn được đảm bảo... Các hoạt động liên lạc, trao đổi, đăng tải, chia sẻ thông tin, mua bán, kinh doanh, thương mại vẫn diễn ra bình thường... miễn là những hoạt động đó không vi phạm pháp luật Việt Nam. Công dân Việt Nam được tự do làm những gì pháp luật không cấm trên không gian mạng, kể cả truy cập các trang mạng xã hội nước ngoài. Thực tế, chưa hề có chuyện Việt Nam chặn Facebook hay Google, ngược lại, Việt Nam yêu cầu các nhà mạng, nhà cung cấp dịch vụ phải có biện pháp để bảo vệ người dùng trên những nền tảng đó trước nguy cơ tội phạm mạng. Rõ ràng, Việt Nam không “đi theo” mô hình cực đoan như Trung Quốc; ngược lại chính sách Internet của Việt Nam khá cởi mở khi nằm trong nhóm 20 quốc gia có số lượng người dùng mạng xã hội đông đảo nhất thế giới. Điều này cho thấy pháp luật Việt Nam lựa chọn hướng quản lý cân bằng, vừa đảm bảo môi trường mạng tự do cho người dân, vừa đặt ra giới hạn với những hành vi vi phạm pháp luật hoặc lợi dụng không gian mạng để xâm hại lợi ích công cộng.
2. Một thông tin khác bị các đối tượng thường xuyên đưa lên công kích, việc Luật An ninh mạng, Luật Dữ liệu yêu cầu lưu trữ dữ liệu người dùng trong lãnh thổ Việt Nam (data localization) và đặt văn phòng đại diện đối với doanh nghiệp nước ngoài cung cấp dịch vụ tại Việt Nam. Một số ý kiến xem đây là bước đi “bắt chước Trung Quốc” và vi phạm cam kết hội nhập. Tuy nhiên, điều này không hề xa lạ trên thế giới. Nhiều quốc gia từ Hoa Kỳ, Đức, Pháp, Nga, Ấn Độ, cho tới Indonesia, Trung Quốc… đều có quy định về lưu trữ dữ liệu trong nước hoặc định danh dữ liệu tương tự. Thậm chí Nga đã ban hành Luật số 242-FZ từ năm 2006 yêu cầu dữ liệu cá nhân của công dân Nga phải được lưu trữ tại máy chủ trong nước. Liên minh châu Âu tuy không bắt buộc lưu dữ liệu nội địa một cách rộng rãi, nhưng cũng có những hạn chế chuyển dữ liệu cá nhân ra ngoài EU nếu quốc gia nhận dữ liệu không đáp ứng tiêu chuẩn bảo mật (theo chế độ “Adequacy” của GDPR).
 |
BBC xuyên tạc các quy định của Luật Dữ liệu. Ảnh: Tác giả |
Về mặt cam kết thương mại quốc tế, các chuyên gia pháp lý đã phân tích rằng quy định dữ liệu của Việt Nam không vi phạm các điều ước như Liên Hợp quốc (WTO) hay Hiệp định Đối tác Toàn diện và Tiến bộ xuyên Thái Bình Dương (CPTPP). Điều khoản ngoại lệ về an ninh quốc gia trong CPTPP cho phép các nước có quyền áp dụng biện pháp cần thiết để bảo vệ lợi ích an ninh thiết yếu. Ngoài ra, trong chính CPTPP, Việt Nam còn được tạm hoãn thực thi một số nghĩa vụ về dòng chảy thông tin xuyên biên giới trong 2 năm sau khi Hiệp định có hiệu lực.
Nói cách khác, yêu cầu đặt máy chủ tại Việt Nam là phù hợp quyền bảo vệ an ninh quốc gia và đã được cân nhắc kỹ trong khuôn khổ ngoại lệ cho phép của các hiệp định quốc tế. Nếu những quy định như vậy “trái luật chơi” toàn cầu, hẳn các cường quốc như Mỹ hay Đức đã không thể ban hành các chính sách tương tự. Thực tiễn cho thấy, ngày nay khái niệm “chủ quyền dữ liệu” được nhiều nước coi trọng, đặc biệt trong bối cảnh bảo vệ thông tin cá nhân và an ninh mạng.
Chính sách bảo vệ dữ liệu của Việt Nam không những không đi ngược tiêu chuẩn quốc tế, mà thực tế chịu ảnh hưởng tích cực từ các mô hình tiến bộ như GDPR của EU. Xác định Việt Nam và EU “đã đặt ra các tiêu chuẩn tương tự để bảo vệ dữ liệu cá nhân bên cạnh một số khác biệt cụ thể”. Chẳng hạn, cả GDPR và Nghị định 13/2023/NĐ-CP của Việt Nam (văn bản tiền thân Luật Bảo vệ dữ liệu cá nhân) đều dựa trên các nguyên tắc chung: tôn trọng quyền của chủ thể dữ liệu, yêu cầu minh bạch và sự đồng ý rõ ràng khi thu thập, xử lý dữ liệu cá nhân. Cả hai hệ thống đều đảm bảo các quyền cơ bản của người dùng: quyền được biết, quyền truy cập, quyền chỉnh sửa, quyền yêu cầu xóa, quyền rút lại sự đồng ý, v.v. - như GDPR quy định tại Điều 15-20 và Nghị định 13/2023/NĐ-CP của Việt Nam cũng có các điều khoản tương ứng. Chưa dừng ở đó, yêu cầu thông báo vi phạm dữ liệu cũng tương tự: GDPR bắt buộc thông báo sự cố cho cơ quan giám sát trong 72 giờ, Việt Nam theo Nghị định 13 cũng yêu cầu thông báo cho Bộ Công an và cá nhân bị ảnh hưởng khi xảy ra lộ lọt dữ liệu. Những điểm tương đồng này cho thấy Việt Nam tiếp thu tinh thần của GDPR trong việc đề cao quyền riêng tư và trách nhiệm giải trình.
Tuy nhiên, Việt Nam có đặc thù riêng trong cách tiếp cận quản lý dữ liệu, xuất phát từ bối cảnh chính trị, kinh tế và năng lực thực thi. Chẳng hạn, Hoa Kỳ hiện chưa có đạo luật bảo vệ dữ liệu cá nhân chung cấp liên bang, mà điều chỉnh thông qua nhiều đạo luật ngành (y tế, tài chính) và cơ chế tự điều tiết của doanh nghiệp. Điều này khác với Việt Nam ở chỗ Việt Nam muốn ban hành một đạo luật thống nhất về dữ liệu cá nhân. Còn tại Trung Quốc, chính quyền áp dụng các biện pháp mạnh tay hơn như xây dựng “tường lửa” kín, kiểm soát chặt chẽ nội dung thông tin và cấm nhiều nền tảng nước ngoài. So sánh để thấy, Việt Nam không áp dụng mô hình cực đoan của Trung Quốc; thay vào đó Việt Nam lựa chọn xây dựng khung pháp luật tiệm cận các chuẩn mực quốc tế (như quyền cá nhân kiểu GDPR) nhưng đồng thời phù hợp với điều kiện trong nước. Ví dụ, Luật Bảo vệ dữ liệu cá nhân của Việt Nam phân loại dữ liệu cá nhân thành cơ bản và nhạy cảm nhằm ưu tiên bảo vệ dữ liệu nhạy cảm (Điều 2 Dự thảo Luật). Về phạm vi áp dụng, GDPR có hiệu lực toàn cầu đối với bất kỳ ai xử lý dữ liệu công dân EU, còn quy định Việt Nam chủ yếu tập trung đối tượng trong nước và nhấn mạnh yêu cầu lưu trữ dữ liệu tại chỗ vì mục đích an ninh. Những khác biệt này phản ánh bối cảnh và ưu tiên riêng, EU chú trọng thương mại tự do và quyền riêng tư cá nhân tuyệt đối (ngoài ra cần phải làm rõ, trên thế giới hiện có hơn 11.000 trung tâm lưu trữ, trong đó 50% đặt tại Mỹ, khoảng 25% đặt tại Châu Âu), trong khi Việt Nam ưu tiên hài hòa giữa bảo vệ quyền cá nhân với bảo vệ an ninh quốc gia, trật tự xã hội. Mặc dù cách thức có thể khác nhau, song mục tiêu chung của Việt Nam không nằm ngoài xu hướng thế giới, xây dựng môi trường số an toàn, đáng tin cậy cho người dân và doanh nghiệp.
3. Một số tổ chức và cá nhân chỉ trích luật dữ liệu của Việt Nam “vi phạm quyền con người” như quyền riêng tư, tự do ngôn luận. Cần khẳng định rằng Việt Nam luôn đề cao các giá trị quyền con người và tuân thủ các điều ước quốc tế về nhân quyền mà mình tham gia. Hiến pháp 2013 của Việt Nam ghi nhận rõ quyền tự do ngôn luận, tiếp cận thông tin, bảo vệ đời sống riêng tư của công dân (Điều 25 và Điều 21 Hiến pháp). Các đạo luật chuyên ngành như Bộ luật Dân sự 2015, Luật An toàn thông tin mạng 2015, Luật Tiếp cận thông tin 2016... đều cụ thể hóa những quyền này. Trong lĩnh vực an ninh mạng và dữ liệu, pháp luật Việt Nam luôn quán triệt nguyên tắc: bảo vệ an ninh quốc gia đi đôi với bảo vệ quyền và lợi ích hợp pháp của tổ chức, cá nhân. Ngay trong Điều 5 Luật Dữ liệu về Nguyên tắc xây dựng, phát triển, bảo vệ, quản trị, xử lý, sử dụng dữ liệu, nêu rõ phải “tuân thủ Hiến pháp và pháp luật; bảo đảm... quyền và lợi ích hợp pháp của cơ quan, tổ chức, cá nhân”. Như đã phân tích, luật không cấm đoán hoạt động ngôn luận hay trao đổi thông tin bình thường của công dân. Những hành vi duy nhất bị ngăn chặn là lợi dụng việc xử lý dữ liệu để phạm tội, như tuyên truyền chống Nhà nước, tấn công mạng, lừa đảo... Đây là cách tiếp cận hợp lý và phù hợp Công ước quốc tế về các quyền dân sự, chính trị (ICCPR). Điều 19 ICCPR về tự do ngôn luận cho phép hạn chế quyền này để bảo vệ an ninh quốc gia, trật tự công cộng, sức khỏe hoặc đạo đức xã hội. Pháp luật Việt Nam chỉ giới hạn tự do ngôn luận ở những trường hợp cần thiết tương tự, chứ không “bóp nghẹt” tiếng nói của người dân như luận điệu xuyên tạc. Bằng chứng là Việt Nam có hơn 78 triệu người dùng Internet, gần 73% dân số dùng mạng xã hội một cách sôi động, với hàng triệu ý kiến phản biện xã hội được nêu ra hàng ngày mà không hề bị ngăn cản. Nhà nước cũng khuyến khích người dân tham gia phản biện, góp ý chính sách trên môi trường mạng một cách xây dựng. Do đó, cáo buộc Việt Nam vi phạm tự do ngôn luận là thiếu cơ sở.
 |
HRW đưa thông tin sai sự thật về Nghị định 147/2024/NĐ-CP. Ảnh: Tác giả |
Về quyền riêng tư, Việt Nam coi trọng bảo vệ dữ liệu cá nhân không kém gì các nước dân chủ. Thời gian qua có những ý kiến hiểu lầm rằng cơ quan công an chủ trì xây dựng Luật Dữ liệu, Luật Bảo vệ Dữ liệu cá nhân là để “siết chặt kiểm soát” thông tin của dân. Thực tế hoàn toàn ngược lại, lần đầu tiên, Việt Nam ban hành một đạo luật đầy đủ về quyền dữ liệu cá nhân nhằm bảo vệ đời tư người dân trong kỷ nguyên số. Luật Bảo vệ dữ liệu cá nhân xác lập rõ các quyền của chủ thể dữ liệu, tức quyền của mỗi cá nhân đối với thông tin của mình. Theo Điều 4 của luật này, cá nhân có hàng loạt quyền cụ thể: “(a)Được biết về hoạt động xử lý dữ liệu cá nhân; (b)Đồng ý hoặc không đồng ý, yêu cầu rút lại sự đồng ý cho phép xử lý dữ liệu của mình; (c)Xem, chỉnh sửa hoặc yêu cầu chỉnh sửa dữ liệu cá nhân; (d)Yêu cầu cung cấp, xóa, hạn chế xử lý dữ liệu; phản đối việc xử lý dữ liệu cá nhân; (đ)Khiếu nại, tố cáo, khởi kiện, yêu cầu bồi thường thiệt hại…; (e)Yêu cầu cơ quan, tổ chức, cá nhân có liên quan thực hiện các biện pháp bảo vệ dữ liệu của mình theo quy định pháp luật”. Những quyền này tương đồng với quyền của công dân EU dưới GDPR, bao gồm cả quyền được xóa dữ liệu (“quyền được lãng quên”) và quyền phản đối xử lý dữ liệu. Việc luật Việt Nam công nhận các quyền trên cho thấy chính sách dữ liệu hoàn toàn không vi phạm quyền riêng tư, mà ngược lại nhằm tăng cường bảo vệ quyền riêng tư cho người dân. Tới đây, có thể khẳng định quan điểm “pháp luật dữ liệu Việt Nam xâm phạm nhân quyền” là không có cơ sở, bởi các đạo luật liên quan đều có điều khoản bảo đảm quyền con người, quyền công dân phù hợp Hiến pháp. Nhà nước Việt Nam luôn nhất quán nguyên tắc phát triển công nghệ gắn liền với tôn trọng quyền con người, như Nghị quyết 27-NQ/TW năm 2022 của Đảng đã nêu rõ: “lấy con người làm trung tâm… gắn bảo vệ dữ liệu cá nhân với bảo vệ quyền con người trong kỷ nguyên số”
4. Các ý kiến tiêu cực thường cho rằng quá trình xây dựng chính sách dữ liệu ở Việt Nam thiếu minh bạch, văn bản pháp luật khó tiếp cận. Tuy nhiên, thực tế lại cho thấy sự minh bạch được chú trọng trên cả hai phương diện: (1) Minh bạch nội dung pháp luật, và (2) Minh bạch trong quá trình xây dựng chính sách.
Về nội dung, các luật và nghị định liên quan đến dữ liệu đều được công bố công khai, đăng tải rộng rãi trên cổng thông tin điện tử và các phương tiện thông tin đại chúng để người dân, doanh nghiệp biết và thực thi. Nguyên tắc minh bạch cũng được thể hiện ngay trong các quy định. Chẳng hạn, Luật An ninh mạng yêu cầu doanh nghiệp phải thông báo cho người dùng khi xảy ra sự cố lộ lọt dữ liệu người dùng. Luật Dữ liệu 2024 nêu rõ nguyên tắc số 2 là “bảo đảm công khai, minh bạch, bình đẳng trong tiếp cận, khai thác và sử dụng dữ liệu”. Điều này có nghĩa là việc quản lý và chia sẻ dữ liệu ở Việt Nam phải được thực hiện minh bạch, không được tùy tiện hay bí mật xâm phạm dữ liệu mà không có căn cứ pháp luật. Luật Bảo vệ dữ liệu cá nhân 2025 cũng yêu cầu cơ quan chuyên trách phải tiếp nhận và giải quyết các yêu cầu của công dân liên quan đến dữ liệu cá nhân một cách công khai, đúng hạn định. Như vậy, xuyên suốt các văn bản, tính minh bạch pháp lý luôn được đề cao, bác bỏ luận điệu cho rằng chính sách dữ liệu của Việt Nam mập mờ hay khuất tất.
Về quy trình chính sách, Việt Nam đã có nhiều hoạt động tham vấn, lấy ý kiến công khai trước khi ban hành các quy định quan trọng về dữ liệu. Điển hình, trong quá trình soạn thảo Luật Dữ liệu vừa qua, Bộ Công an và cơ quan liên quan đã tổ chức tọa đàm, hội thảo góp ý với sự tham gia của hiệp hội doanh nghiệp, chuyên gia, người dân.
 |
Góp ý Dự thảo Luật Dữ liệu của Liên minh phần mềm BSA. Ảnh: Tác giả |
Trên thực tế, dự thảo Luật đã được chỉnh sửa nhiều điểm sau khi tiếp thu phản hồi. Những động thái này cho thấy tính minh bạch và cầu thị trong quá trình hoàn thiện chính sách pháp luật về dữ liệu tại Việt Nam. Các văn bản như Nghị định 53/2022/NĐ-CP hay Nghị định 13/2023/NĐ-CP trước khi ban hành đều đã trải qua bước đăng công khai dự thảo trên Cổng thông tin Chính phủ để lấy ý kiến nhân dân. Do đó, không thể nói rằng chính sách được ban hành một cách thiếu minh bạch hay không có sự tham gia của xã hội. Trái lại, Nhà nước đang nỗ lực hướng dẫn dư luận hiểu đúng và đóng góp vào quá trình xây dựng pháp luật dữ liệu, tránh những hiểu lầm và đồn đoán không đáng có.
Tóm lại, những luận điểm cho rằng chính sách dữ liệu của Việt Nam “sao chép Trung Quốc, đi ngược quốc tế, vi phạm nhân quyền, thiếu minh bạch” đều không phù hợp với thực tiễn lập pháp và thực thi. Việt Nam có cách tiếp cận riêng biệt nhưng hợp lý, vừa tham khảo kinh nghiệm quốc tế (như GDPR), vừa đảm bảo chủ quyền và lợi ích quốc gia. Các quy định đặt ra nhằm bảo vệ người dân và an ninh quốc gia trên không gian mạng, chứ không phải để hạn chế các quyền tự do chính đáng.
Đỗ Tất Thắng - Phòng An ninh chính trị nội bộ, Công an TP Hà Nội
