Luật xác định rõ quyền, nghĩa vụ của ba chủ thể trọng yếu: chủ thể dữ liệu, chủ sở hữu dữ liệu và chủ quản dữ liệu, đảm bảo cân bằng giữa phát triển kinh tế số và bảo vệ quyền riêng tư của công dân. Những luận điệu xuyên tạc cho rằng luật mập mờ, vi phạm quyền cá nhân đã bị bác bỏ khi các quy định pháp lý khẳng định nguyên tắc minh bạch, đồng thuận, và trách nhiệm pháp lý nghiêm ngặt. Bằng việc công nhận dữ liệu là tài sản, trao quyền tự chủ cho doanh nghiệp và bảo vệ quyền lợi người dân, Luật Dữ liệu 2024 vừa củng cố chủ quyền số, vừa mở ra cơ hội phát triển thị trường dữ liệu minh bạch, bền vững, hội nhập quốc tế.
Trong kỷ nguyên số, dữ liệu đã trở thành tài nguyên cốt lõi của nền kinh tế và xã hội. Việc Việt Nam ban hành đạo luật đầu tiên chuyên sâu về dữ liệu thể hiện quyết tâm hoàn thiện thể chế để quản lý, khai thác và bảo vệ dữ liệu một cách hiệu quả. Đây là bước ngoặt quan trọng nhằm tạo nền móng pháp lý vững chắc cho quốc gia số an toàn, hiệu quả, khẳng định chủ quyền dữ liệu của Việt Nam.
Tuy nhiên, một số thế lực thù địch và truyền thông thiếu thiện chí đã cố tình bóp méo nội dung luật, tung ra những luận điệu sai lệch nhằm gieo rắc hoài nghi. Họ xuyên tạc rằng Luật Dữ liệu 2024 mập mờ khái niệm “chủ sở hữu dữ liệu”, bỏ qua quyền riêng tư, cho phép tùy tiện thu thập dữ liệu cá nhân, tập trung kiểm soát dữ liệu tại Bộ Công an, vi phạm quyền ẩn danh, hạn chế tự do ngôn luận, thiếu minh bạch, không có giám sát tư pháp và gây cản trở đầu tư do quy định chuyển dữ liệu xuyên biên giới...
 |
VBL nhận định“Khái niệm về chủ sở hữu dữ liệu gây nhầm lẫn”. Ảnh: Tác giả |
Trước những luận điệu vô căn cứ này, cần khẳng định rõ: “Luật Dữ liệu 2024 cùng các văn bản liên quan đã thiết lập hệ thống quy định chặt chẽ, cân bằng giữa phát triển kinh tế dữ liệu với bảo vệ quyền và lợi ích hợp pháp của người dân”. Các quyền, nghĩa vụ và trách nhiệm của chủ thể dữ liệu, chủ sở hữu dữ liệu và chủ quản dữ liệu được luật pháp quy định minh bạch. Đồng thời, cơ chế thực thi và giám sát được xây dựng đa tầng, đảm bảo mọi tổ chức, cá nhân (kể cả ngoài khu vực nhà nước) tuân thủ nghiêm túc pháp luật về dữ liệu. Những điểm tiến bộ này không chỉ bảo vệ quyền riêng tư và lợi ích người dân, mà còn thúc đẩy chuyển đổi số toàn diện, tạo niềm tin cho doanh nghiệp đầu tư, phát triển kinh tế số bền vững
1. Luật Dữ liệu 2024 đặt chủ thể dữ liệu (người mà dữ liệu phản ánh, chủ yếu là cá nhân) ở vị trí trung tâm và trao cho họ nhiều quyền quan trọng đối với thông tin của mình. Theo Khoản 12 Điều 3 Luật Dữ liệu 2024, chủ thể dữ liệu là “cơ quan, tổ chức, cá nhân được dữ liệu phản ánh” - hiểu đơn giản là cá nhân hoặc tổ chức mà dữ liệu đề cập tới. Với vai trò là người cung cấp dữ liệu ban đầu và chịu tác động trực tiếp từ việc dữ liệu được thu thập, sử dụng, chủ thể dữ liệu được pháp luật bảo vệ đặc biệt, nhất là về quyền riêng tư. Luật Dữ liệu 2024, Luật Bảo vệ Dữ liệu Cá nhân 2025 và Nghị định 13/2023/NĐ-CP và các văn bản pháp luật khác của Việt Nam xác định rõ các quyền và nghĩa vụ của chủ thể dữ liệu cá nhân. Theo đó, người dân có đầy đủ quyền được biết, quyền đồng ý hoặc từ chối, quyền truy cập, chỉnh sửa, xóa dữ liệu của mình, quyền yêu cầu hạn chế hoặc phản đối xử lý, quyền khiếu nại, tố cáo, khởi kiện và đòi bồi thường nếu thông tin cá nhân bị xâm phạm. Những quyền này bảo đảm mỗi cá nhân kiểm soát được dữ liệu cá nhân, biết dữ liệu của mình “được sử dụng ra sao, bởi ai và trong mục đích gì”. Thực tế, Luật Dữ liệu 2024 nhấn mạnh nguyên tắc minh bạch trong xử lý dữ liệu: mọi tổ chức, cá nhân khi thu thập dữ liệu đều phải thông báo rõ cho chủ thể về mục đích, phạm vi sử dụng và bên sẽ xử lý dữ liệu.
Quan trọng hơn, Luật Bảo vệ Dữ liệu Cá nhân 2025 quy định dữ liệu cá nhân chỉ được thu thập, xử lý khi có căn cứ pháp lý phù hợp, thông thường là sự đồng ý tự nguyện, rõ ràng của chủ thể dữ liệu. Mọi trường hợp xử lý vượt phạm vi mục đích ban đầu phải xin lại sự đồng ý. Như vậy, hoàn toàn bác bỏ luận điệu cho rằng luật cho phép “thu thập dữ liệu cá nhân không cần đồng ý”. Sự đồng ý của người dân là nguyên tắc bắt buộc, trừ một số ngoại lệ đặc thù được luật định (ví dụ: vì an ninh, quốc phòng, phòng chống dịch bệnh…). Ngay cả trong các trường hợp đó, việc xử lý dữ liệu vẫn phải tuân thủ Hiến pháp và pháp luật liên quan, không được tùy tiện. Một ngoại lệ đáng lưu ý được Luật Dữ liệu 2024 đặt ra trong tình huống khẩn cấp như thiên tai, dịch bệnh, khủng bố, đe dọa an ninh quốc gia, cơ quan nhà nước có quyền yêu cầu tổ chức, cá nhân cung cấp dữ liệu cần thiết mà không cần sự đồng ý của chủ thể dữ liệu. Quy định này hoàn toàn phù hợp thông lệ quốc tế (nhiều nước cho phép tạm thời giới hạn quyền riêng tư khi có tình trạng khẩn cấp) và nhằm bảo vệ an toàn công cộng, tính mạng người dân trong tình huống nguy cấp. Ngay cả khi đó, luật vẫn đòi hỏi nhà nước chỉ được sử dụng dữ liệu trong khuôn khổ pháp luật cho mục tiêu ứng phó khẩn cấp, không phải lạm dụng tùy ý. Nói cách khác, Luật Dữ liệu 2024 không hề “thả lỏng” việc thu thập dữ liệu cá nhân, mà trái lại còn đặt ra các nguyên tắc chặt chẽ về sự đồng ý và mục đích xử lý, đồng thời tạo hành lang pháp lý để nhà nước bảo vệ người dân kịp thời trong trường hợp đặc biệt.
Bên cạnh nhóm quyền năng chủ động của chủ thể dữ liệu, pháp luật cũng yêu cầu người dân có ý thức trách nhiệm khi tham gia môi trường dữ liệu số. Chủ thể dữ liệu phải tự bảo vệ thông tin của mình, tôn trọng dữ liệu của người khác và cung cấp thông tin trung thực. Đây là những nghĩa vụ cơ bản nhằm xây dựng văn hóa dữ liệu lành mạnh. Ví dụ: mỗi cá nhân cần cẩn trọng khi chia sẻ thông tin cá nhân, không xâm phạm quyền riêng tư của người khác, không sử dụng thông tin giả mạo. Luật nghiêm cấm hành vi mua bán, trao đổi trái phép dữ liệu cá nhân dưới mọi hình thức. Như vậy, nếu có ai lo ngại Luật Dữ liệu “không bảo vệ quyền riêng tư” thì rõ ràng họ đã hiểu sai hoặc cố tình bóp méo sự thật. Ngược lại, luật củng cố vững chắc quyền riêng tư dữ liệu, coi an toàn dữ liệu cá nhân là yếu tố xuyên suốt không thể tách rời trong phát triển quốc gia số. Người dân được bảo vệ an toàn dữ liệu cá nhân như một phần của quyền con người, được pháp luật trao công cụ pháp lý mạnh mẽ để tự bảo vệ mình (khiếu nại, tố cáo, khởi kiện đòi bồi thường…). Đồng thời, mọi cá nhân cũng có trách nhiệm tuân thủ luật chơi chung, chung tay phòng chống các vi phạm dữ liệu. Đây chính là sự cân bằng cần thiết giữa quyền và nghĩa vụ nhằm xây dựng một xã hội số an toàn, văn minh.
2. Một điểm đột phá của Luật Dữ liệu 2024 là lần đầu tiên luật pháp Việt Nam xác định khái niệm “chủ sở hữu dữ liệu” và thừa nhận dữ liệu là một loại tài sản có giá trị. Theo Khoản 14 Điều 3 Luật Dữ liệu 2024, chủ sở hữu dữ liệu là “cơ quan, tổ chức, cá nhân có quyền quyết định việc xây dựng, phát triển, bảo vệ, quản trị, xử lý, sử dụng và trao đổi giá trị của dữ liệu do mình sở hữu”. Đồng thời, Khoản 15 Điều 3 khẳng định quyền của chủ sở hữu dữ liệu đối với dữ liệu là một dạng quyền tài sản theo pháp luật dân sự. Điều này có nghĩa dữ liệu (đặc biệt là dữ liệu phi cá nhân, dữ liệu do tổ chức, doanh nghiệp tạo ra) được xem như một loại tài sản vô hình. Chủ sở hữu dữ liệu có đầy đủ quyền chiếm hữu, sử dụng và định đoạt đối với tài sản dữ liệu đó, tương tự như đối với các tài sản khác (theo nguyên tắc Bộ luật Dân sự).
Quy định trên không hề mập mờ hay tùy tiện, trái lại xuất phát từ định hướng chiến lược của Đảng và Nhà nước ta về phát triển kinh tế số. Nghị quyết số 57-NQ/TW ngày 22/12/2024của Bộ Chính trị về đột phá phát triển khoa học, công nghệ, đổi mới sáng tạo và chuyển đổi số quốc gia đã nêu rõ: cần “xác lập quyền sở hữu, kinh doanh dữ liệu và phân phối giá trị tạo ra từ dữ liệu. Phát triển kinh tế dữ liệu, thị trường dữ liệu và các sàn giao dịch dữ liệu”. Đây chính là cơ sở chính trị vững chắc để Luật Dữ liệu 2024 công nhận quyền sở hữu dữ liệu, tạo hành lang pháp lý cho việc khai thác giá trị kinh tế của dữ liệu một cách minh bạch, hợp pháp. Trong thời đại cách mạng công nghiệp 4.0, dữ liệu được ví như “năng lượng mới, thậm chí là ‘máu’ của nền kinh tế số”. Việc thừa nhận dữ liệu là tài sản giúp khuyến khích tổ chức, cá nhân đầu tư xây dựng hạ tầng dữ liệu, phát triển sản phẩm dịch vụ dữ liệu và đổi mới sáng tạo. Luật Dữ liệu ra đời “đúng thời điểm khi Việt Nam đang đẩy mạnh chuyển đổi số”, tạo khung pháp lý quan trọng để thu thập, chia sẻ và bảo vệ dữ liệu xuyên biên giới, hình thành niềm tin số giữa các chủ thể. Thực tế, nhiều doanh nghiệp công nghệ Việt Nam đã chủ động chuẩn bị hạ tầng kỹ thuật, quy trình bảo mật và nhân lực để sẵn sàng tuân thủ luật, coi đây là cơ hội phát triển sản phẩm dữ liệu số phục vụ chuyển đổi số và kinh tế số.
Từ góc độ kinh tế, chế định “chủ sở hữu dữ liệu” còn góp phần bảo đảm công bằng trong phân phối giá trị dữ liệu. Trước đây, do chưa có khung pháp lý rõ ràng, không ít trường hợp doanh nghiệp thu thập, khai thác dữ liệu nhưng trốn tránh trách nhiệm với người cung cấp dữ liệu. Giờ đây, khi đã trở thành chủ sở hữu tài sản dữ liệu, doanh nghiệp có quyền lợi kinh tế đi đôi với trách nhiệm pháp lý rõ ràng. Luật Dữ liệu yêu cầu chủ sở hữu dữ liệu phải tôn trọng quyền và lợi ích hợp pháp của chủ thể dữ liệu cá nhân theo Luật Bảo vệ Dữ liệu Cá nhân. Nói cách khác, dữ liệu cá nhân dù được doanh nghiệp thu thập hợp pháp thì doanh nghiệp cũng không “toàn quyền” muốn làm gì thì làm. Họ phải tuân thủ các giới hạn về quyền riêng tư, bảo vệ dữ liệu cá nhân do luật chuyên ngành quy định. Đây chính là điểm mấu chốt cho thấy sự vô lý của luận điệu “Luật Dữ liệu cho phép xâm phạm đời tư”. Quyền sở hữu dữ liệu không đồng nghĩa với việc tước bỏ quyền của cá nhân đối với dữ liệu về mình, ngược lại, hai chế định này bổ sung cho nhau trong một hệ sinh thái pháp luật toàn diện. Cá nhân có quyền nhân thân (quyền riêng tư, quyền được bảo vệ dữ liệu cá nhân), còn doanh nghiệp có quyền tài sản đối với tập dữ liệu họ tạo lập; mọi hành vi khai thác dữ liệu cá nhân vẫn phải được sự đồng ý của người đó, trừ trường hợp luật định.
Mặt khác, Luật Dữ liệu 2024 không chỉ bảo vệ người dân, mà còn bảo vệ chính các doanh nghiệp sở hữu dữ liệu. Quyền của chủ sở hữu dữ liệu được luật quy định rất cụ thể, tạo điều kiện cho doanh nghiệp toàn quyền quyết định đối với tài sản dữ liệu của mình. Chẳng hạn, chủ sở hữu dữ liệu (ngoài khối nhà nước) có quyền tự do quyết định nơi và cách thức lưu trữ dữ liệu do mình thu thập, tạo lập, được tự chọn sử dụng hệ thống của mình hoặc thuê dịch vụ lưu trữ, kể cả lưu trên hạ tầng Trung tâm dữ liệu quốc gia theo thỏa thuận hợp đồng. Do đó, không có chuyện Luật Dữ liệu buộc tất cả dữ liệu tập trung về một mối kiểm soát của nhà nước. Trái lại, luật tôn trọng quyền tự chủ của doanh nghiệp trong quản trị dữ liệu: từ việc đặt ra chính sách, quy trình quản lý dữ liệu phù hợp điều kiện thực tế, đến việc chủ động mã hóa, bảo vệ dữ liệu bằng giải pháp riêng. Nhà nước chỉ đóng vai trò định hướng, hỗ trợ hạ tầng (như xây dựng Trung tâm Dữ liệu quốc gia để cung cấp dịch vụ lưu trữ tập trung đạt chuẩn cao) và can thiệp khi có vi phạm. Chính vì thế, có thể nói Luật Dữ liệu “được thiết kế theo hướng hậu kiểm thay vì tiền kiểm, Nhà nước chỉ can thiệp, xử lý khi phát hiện vi phạm” một điểm tiến bộ giảm gánh nặng thủ tục và khuyến khích đổi mới sáng tạo.
 |
Ông Phan Đức Trung, Chủ tịch Hiệp hội Blockchain Việt Nam, nhận định: “Luật (Luật Dữ liệu) không đóng khung mà trao quyền cho doanh nghiệp chủ động xây dựng quy trình, áp dụng công nghệ, đồng thời chịu trách nhiệm hậu kiểm”. Ảnh: Vietnamplus |
Như vậy, những lo ngại cho rằng luật tạo cơ chế “kiểm soát tập trung quan liêu” là hoàn toàn sai lệch. Thực tế, Luật Dữ liệu bảo đảm môi trường kinh doanh dữ liệu thông thoáng nhưng có trách nhiệm, nơi doanh nghiệp được quyền khai thác tài sản dữ liệu của mình để làm giàu, nhưng phải tuân thủ luật và sẵn sàng chịu trách nhiệm nếu vi phạm.
Thêm vào đó, Luật Dữ liệu 2024 khuyến khích các tổ chức, cá nhân chia sẻ dữ liệu vì lợi ích chung, góp phần phát triển dữ liệu mở và dữ liệu dùng chung cho xã hội. Chủ sở hữu dữ liệu được quyền (và được khuyến khích) chia sẻ dữ liệu mà mình sở hữu cho cơ quan nhà nước hoặc cộng đồng nhằm phục vụ mục tiêu lợi ích công cộng, chẳng hạn trong lĩnh vực y tế, giáo dục, giao thông…. Đương nhiên, việc chia sẻ này phải trên cơ sở tự nguyện và tuân thủ quy định bảo mật (ví dụ dữ liệu cá nhân chỉ chia sẻ khi có sự đồng ý của chủ thể dữ liệu). Bằng cách đó, luật động viên các doanh nghiệp đóng góp vào hệ sinh thái dữ liệu quốc gia, trong khi vẫn bảo đảm quyền tài sản và bí mật kinh doanh của họ. Thật vậy, Nghị quyết 57-NQ/TW khẳng định cần “có cơ chế, chính sách bảo đảm dữ liệu thành nguồn tài nguyên, tư liệu sản xuất quan trọng” và “phát triển mạnh mẽ công nghiệp dữ liệu, hình thành các cơ sở dữ liệu lớn có chủ quyền của Việt Nam”. Luật Dữ liệu đã cụ thể hóa chủ trương này, khuyến khích đặt các trung tâm dữ liệu tại Việt Nam, xây dựng thị trường giao dịch dữ liệu, thu hút doanh nghiệp trong và ngoài nước đầu tư vào lĩnh vực dữ liệu. Điều này bác bỏ hoàn toàn luận điệu rằng luật sẽ “cản trở kinh tế, đầu tư”. Trái lại, một khung pháp lý rõ ràng về dữ liệu chính là điều kiện tiên quyết để doanh nghiệp số yên tâm đầu tư và hội nhập quốc tế.
Có thể nói, Luật Dữ liệu 2024 là hành lang pháp lý chặt chẽ cho thị trường dữ liệu, thúc đẩy phát triển kinh tế số và chuyển đổi số bền vững.
3. Cùng với chủ thể và chủ sở hữu, Luật Dữ liệu 2024 định danh một chủ thể quan trọng khác: “chủ quản dữ liệu”. Nếu chủ sở hữu là “ông chủ” quyết định hướng khai thác tài sản dữ liệu, thì chủ quản dữ liệu chính là người “quản lý kỹ thuật”, đảm bảo dữ liệu được vận hành an toàn, trôi chảy theo yêu cầu của chủ sở hữu. Khoản 13 Điều 3 Luật Dữ liệu 2024 định nghĩa chủ quản dữ liệu là “cơ quan, tổ chức, cá nhân thực hiện hoạt động xây dựng, quản lý, vận hành, khai thác dữ liệu theo yêu cầu của chủ sở hữu dữ liệu”. Chủ quản dữ liệu có thể chính là chủ sở hữu (nếu tự mình vận hành dữ liệu) hoặc là bên thứ ba được thuê/giao quản lý (ví dụ một công ty dịch vụ dữ liệu được doanh nghiệp thuê ngoài). Việc luật phân định rõ vai trò chủ sở hữu và chủ quản giúp mô hình hóa các quan hệ trong nền kinh tế dữ liệu: chủ sở hữu quyết định “sử dụng tài sản dữ liệu vào việc gì”, còn chủ quản là người triển khai kỹ thuật, vận hành dữ liệu để thực hiện mục tiêu đó.
Trong bối cảnh nhiều tổ chức, doanh nghiệp thuê ngoài dịch vụ dữ liệu, việc quy định cụ thể trách nhiệm của chủ quản dữ liệu là rất cần thiết. Chủ quản dữ liệu có nghĩa vụ áp dụng các biện pháp kỹ thuật và quản trị phù hợp để bảo đảm tính toàn vẹn, an ninh, an toàn của dữ liệu trong suốt vòng đời xử lý. Điều 15 Luật Dữ liệu 2024 yêu cầu chủ quản dữ liệu phải xây dựng hệ thống quản trị dữ liệu đáp ứng các tiêu chí: dữ liệu phải đầy đủ, chính xác, toàn vẹn, nhất quán, được chuẩn hóa, an toàn, bảo mật và kịp thời. Nói cách khác, chủ quản dữ liệu chịu trách nhiệm về chất lượng và bảo mật dữ liệu do mình vận hành. Nếu có sai sót, rủi ro (như lộ lọt, mất mát dữ liệu), chủ quản trước tiên phải chịu trách nhiệm khắc phục và có thể bị chế tài. Luật cũng quy định chủ quản dữ liệu phải phân loại dữ liệu theo mức độ nhạy cảm, xây dựng phương án bảo vệ, sao lưu, phục hồi dữ liệu quan trọng và xóa/hủy dữ liệu khi hết thời hạn. Các quy trình truy cập, truy xuất dữ liệu phải tuân thủ nguyên tắc “đúng người, đúng quyền, đúng mục đích”: chỉ những người được ủy quyền hợp pháp mới được tiếp cận dữ liệu, và chỉ trong phạm vi cần thiết cho công việc.
Những quy định này cho thấy Luật Dữ liệu đặt ra yêu cầu rất cao về trách nhiệm của chủ quản dữ liệu trong bảo vệ thông tin, đặc biệt là dữ liệu cá nhân. Luật Bảo vệ Dữ liệu Cá nhân 2025 dành hẳn một chương quy định nghĩa vụ của bên kiểm soát và bên xử lý dữ liệu (tương ứng với chủ sở hữu và chủ quản) trong việc bảo đảm an ninh dữ liệu cá nhân. Chẳng hạn, mọi hoạt động thu thập, lưu trữ, sử dụng thông tin cá nhân đều phải được thông báo trước cho người liên quan, kể cả nội dung như mục đích xử lý, loại dữ liệu, thời gian lưu trữ, các bên liên quan…; nếu xảy ra sự cố mất an toàn thì phải kịp thời thông báo cho chủ thể dữ liệu. Chủ quản dữ liệu có trách nhiệm đáp ứng nhanh chóng các yêu cầu thực thi quyền của chủ thể dữ liệu (như cung cấp bản sao dữ liệu, chỉnh sửa, xóa dữ liệu, rút lại sự đồng ý…) trong thời hạn luật định. Tuyệt đối không được cung cấp hay phát tán dữ liệu cá nhân cho bên thứ ba nếu không có sự đồng ý của chủ thể hoặc yêu cầu từ cơ quan có thẩm quyền. Khi mục đích xử lý kết thúc hoặc hết hạn lưu trữ, chủ quản phải xóa/hủy dữ liệu cá nhân, trừ khi có căn cứ pháp lý để tiếp tục lưu (ví dụ nghĩa vụ lưu trữ giao dịch tài chính theo luật thuế). Những yêu cầu này bác bỏ luận điệu cho rằng luật “vi phạm quyền ẩn danh hay tự do ngôn luận”: thực tế, luật không điều chỉnh nội dung phát ngôn hay danh tính trên mạng, mà tập trung vào việc bảo đảm dữ liệu cá nhân (ví dụ thông tin định danh, lịch sử hoạt động trực tuyến của công dân) được lưu trữ, sử dụng một cách an toàn, có sự cho phép của họ. Điều này góp phần bảo vệ người dùng khỏi các rủi ro như đánh cắp danh tính, lừa đảo trực tuyến `vốn là điều kiện tiên quyết để tự do ngôn luận trên mạng được thực hiện một cách lành mạnh, văn minh.
Để đảm bảo các quyền, nghĩa vụ trên không chỉ nằm trên giấy mà được thực thi nghiêm túc, pháp luật Việt Nam đã thiết lập một cơ chế kiểm tra, giám sát và chế tài toàn diện. Trước hết, vai trò của cơ quan quản lý nhà nước được phân định rõ, trong đó Bộ Công an được giao làm đầu mối thống nhất quản lý nhà nước về dữ liệu số và bảo vệ dữ liệu cá nhân trên phạm vi toàn quốc. Điều này không có nghĩa “tất cả tập trung về Bộ Công an” theo nghĩa tiêu cực, mà là nhằm bảo đảm sự chỉ huy thống nhất, tránh chồng chéo trong thực thi. Cục An ninh mạng và Phòng chống tội phạm công nghệ cao (Bộ Công an) hiện là cơ quan chuyên trách bảo vệ dữ liệu cá nhân. Đồng thời, các bộ, ngành khác cũng được phân công giám sát lĩnh vực dữ liệu trong phạm vi ngành mình (ví dụ Bộ Y tế quản lý bảo vệ dữ liệu y tế, Ngân hàng Nhà nước giám sát bảo vệ dữ liệu khách hàng ngành ngân hàng… Ủy ban nhân dân các tỉnh thành cũng chịu trách nhiệm trên địa bàn). Như vậy, một mạng lưới đa cơ quan cùng tham gia dưới sự điều phối của Bộ Công an nhằm đảm bảo thực thi luật về dữ liệu được đồng bộ, hiệu quả. Đây là mô hình phổ biến trên thế giới: tương tự như Liên minh châu Âu có các Cơ quan bảo vệ dữ liệu độc lập phối hợp với Ủy ban châu Âu, thì Việt Nam chọn cách huy động các bộ ngành hiện có dưới sự chỉ đạo tập trung để phù hợp hệ thống hành chính. Cách làm này vừa tận dụng chuyên môn ngành, vừa bảo đảm thống nhất quốc gia, không hề là “bí mật” hay “mất minh bạch” như kẻ xấu xuyên tạc.
Hoạt động thanh tra, kiểm tra việc tuân thủ luật về dữ liệu sẽ được tiến hành định kỳ và đột xuất. Cơ quan chuyên trách có quyền kiểm tra hệ thống của các tổ chức, doanh nghiệp: từ việc có xin phép người dùng đúng luật không, hệ thống bảo mật có đáp ứng tiêu chuẩn không, doanh nghiệp đã thực hiện đánh giá tác động dữ liệu (DPIA) chưa, có vi phạm quyền chủ thể nào không…. Khi có dấu hiệu vi phạm hoặc có khiếu nại từ người dân, cơ quan chức năng có thể thanh tra đột xuất. Ví dụ, nếu nhiều người dùng tố cáo một công ty công nghệ lạm dụng dữ liệu khách hàng, Bộ Công an phối hợp Thanh tra Chính phủ (phụ trách) có thể tiến hành thanh tra ngay công ty đó. Doanh nghiệp sẽ phải cung cấp đầy đủ thông tin, cho phép kiểm tra hệ thống và thực thi các yêu cầu kỹ thuật của đoàn thanh tra (như tạm dừng một hoạt động xử lý dữ liệu vi phạm). Nếu phát hiện sai phạm, cơ quan chức năng sẽ xử phạt nghiêm minh và yêu cầu khắc phục hậu quả. Song song đó, doanh nghiệp cũng phải nhanh chóng phản hồi, giải quyết các yêu cầu của cá nhân liên quan (ví dụ cung cấp dữ liệu, chỉnh sửa hoặc xóa dữ liệu theo đúng thời hạn luật định), nếu không sẽ bị coi là vi phạm và tiếp tục bị xử lý.
Về chế tài, pháp luật quy định nhiều mức độ xử lý vi phạm tương ứng với tính chất, mức độ hành vi. Xử phạt vi phạm hành chính được áp dụng đối với phần lớn vi phạm về bảo vệ dữ liệu, với mức phạt tiền đáng kể kèm biện pháp khắc phục hậu quả. Chẳng hạn, theo Nghị định 15/2020/NĐ-CP (sửa đổi 14/2022/NĐ-CP), hành vi thu thập thông tin cá nhân khi chưa được chủ thể đồng ý có thể phạt từ 10-20 triệu đồng; nếu cung cấp thông tin cá nhân cho bên thứ ba dù chủ thể đã yêu cầu ngừng thì phạt 40-60 triệu đồng. Hành vi sử dụng thông tin cá nhân sai mục đích hoặc mua bán dữ liệu cá nhân có thể phạt tới 60 triệu đồng. Ngoài ra, cơ quan chức năng có thể áp dụng biện pháp như buộc tiêu hủy dữ liệu cá nhân đã thu thập trái phép, đình chỉ dịch vụ có thời hạn hoặc kiến nghị rút giấy phép nếu vi phạm nghiêm trọng, tái phạm nhiều lần.
Với việc Luật Bảo vệ Dữ liệu Cá nhân ban hành, dự kiến sẽ sớm có nghị định mới thay thế Nghị định 15/2020/NĐ-CP để tăng nặng chế tài, đủ sức răn đe. Tham khảo quốc tế như GDPR của EU (phạt đến 4% doanh thu toàn cầu), Việt Nam cũng cân nhắc mức phạt cao hơn với vi phạm nghiêm trọng liên quan dữ liệu nhạy cảm, ảnh hưởng nhiều người. Đối với cá nhân vi phạm, tùy trường hợp có thể bị xử lý kỷ luật (nếu là công chức), xử phạt hành chính, hoặc truy cứu hình sự. Bộ luật Hình sự hiện hành đã có tội danh như Điều 288 “Tội đưa hoặc sử dụng trái phép thông tin mạng, theo đó hành vi mua bán, trao đổi trái phép thông tin cá nhân của người khác trên mạng” có thể bị phạt tù đến 7 năm. Nếu việc lợi dụng dữ liệu nhằm xâm phạm an ninh quốc gia, tuyên truyền chống phá thì sẽ bị truy tố về tội tương ứng (như tội xâm phạm ANQG). Mặc dù đến nay chưa nhiều vụ án hình sự về vi phạm dữ liệu cá nhân đơn thuần, nhưng luật đã mở đường cho khả năng này và yêu cầu xử lý kịp thời, nghiêm minh mọi hành vi vi phạm. Điều đó thêm một lần nữa khẳng định tính pháp quyền và minh bạch của hệ thống: mọi vi phạm (dù là cơ quan, doanh nghiệp hay cá nhân) đều không có “vùng cấm”, đều bị xử lý theo pháp luật. Nếu người dân cho rằng quyền lợi mình bị xâm phạm, họ có quyền khởi kiện ra tòa đòi bồi thường, thông qua tòa án đảm bảo giám sát tư pháp đối với các tranh chấp dữ liệu.
Cùng với chế tài, pháp luật cũng dự liệu các biện pháp kỹ thuật bắt buộc để ngăn chặn, khắc phục vi phạm về dữ liệu. Cơ quan chức năng có thể ra quyết định buộc xóa bỏ thông tin cá nhân vi phạm, ngắt kết nối hệ thống hoặc đình chỉ hoạt động xử lý dữ liệu tạm thời nếu phát hiện vi phạm nghiêm trọng (ví dụ một mạng xã hội liên tục vi phạm bảo vệ dữ liệu người dùng có thể bị yêu cầu tạm dừng dịch vụ để khắc phục). Các chuyên gia an ninh mạng cũng sẽ tham gia giám định hệ thống, truy vết giao dịch dữ liệu trái phép để thu thập chứng cứ xử lý. Về lâu dài, các tiêu chuẩn kỹ thuật về bảo vệ dữ liệu sẽ được ban hành và bắt buộc tuân thủ, doanh nghiệp nếu không đáp ứng mức tối thiểu (ví dụ không mã hóa dữ liệu nhạy cảm, không có quy trình quản lý truy cập) thì dù chưa xảy ra sự cố vẫn có thể bị xử phạt. Đây chính là cách tiếp cận “phòng ngừa hơn chữa cháy”, buộc tuân thủ tiêu chuẩn để giảm nguy cơ sự cố, đồng thời có phương án ngăn chặn kịp thời nếu sự cố xảy ra, tránh thiệt hại lan rộng.
Nhìn một cách tổng quát, cơ chế thực thi Luật Dữ liệu bao gồm sự kết hợp đa dạng giữa các biện pháp hành chính, kinh tế, kỹ thuật, tư pháp và cả sự tham gia của cộng đồng. Người dân được khuyến khích tố giác các vi phạm tới cơ quan chức năng, bất kỳ ai phát hiện hành vi xâm phạm dữ liệu cá nhân đều có thể báo tin cho cơ quan chuyên trách để kịp thời xử lý. Sự giám sát từ cộng đồng này giúp phát hiện nhanh vi phạm tiềm ẩn mà cơ quan quản lý có thể chưa bao quát hết.
Về hợp tác quốc tế, Việt Nam cũng chủ động phối hợp với các nước để điều tra, xử lý vi phạm xuyên biên giới. Đây là yếu tố rất quan trọng trong bối cảnh dữ liệu lưu chuyển qua biên giới ngày càng nhiều. Thực tế, Luật Dữ liệu 2024 và Luật Bảo vệ Dữ liệu Cá nhân 2025 đã đặt ra những yêu cầu chặt chẽ nhưng hợp lý đối với hoạt động chuyển dữ liệu ra nước ngoài, nhằm đảm bảo lợi ích quốc gia và quyền lợi người dùng. Cụ thể, doanh nghiệp muốn chuyển dữ liệu cá nhân ra khỏi lãnh thổ Việt Nam phải lập hồ sơ đánh giá tác động gửi cơ quan chuyên trách trong vòng 60 ngày từ khi bắt đầu chuyển. Đối với dữ liệu quan trọng, dữ liệu cốt lõi (liên quan an ninh, lợi ích công cộng…), luật yêu cầu phải đảm bảo yêu cầu nghiêm ngặt hơn: có thể cần sự chấp thuận của cơ quan quản lý, cam kết dữ liệu được bảo vệ tương đương ở nước ngoài... Nếu không tuân thủ, cơ quan chức năng có quyền kiểm tra và đình chỉ việc chuyển dữ liệu. Những biện pháp này là hoàn toàn cần thiết để bảo vệ chủ quyền số và an ninh dữ liệu quốc gia, yếu tố được Đảng và Nhà nước ta xác định là sống còn trong chuyển đổi số. Song song đó, luật cũng tạo thuận lợi cho hội nhập dữ liệu quốc tế, khi doanh nghiệp tuân thủ các điều kiện đặt ra, họ có thể tự tin kết nối, trao đổi dữ liệu xuyên biên giới, mở rộng thị trường và dịch vụ. Như ông Nguyễn Phú Dũng (Hiệp hội Dữ liệu quốc gia)đánh giá: “Luật Dữ liệu giúp doanh nghiệp an tâm đầu tư vào công nghệ như blockchain, định danh số phi tập trung, xác thực dữ liệu xuyên biên giới... Đặc biệt, khung pháp lý rõ ràng là điều kiện tiên quyết để các doanh nghiệp số hội nhập với tiêu chuẩn quốc tế”. Điều này đập tan luận điệu cho rằng luật “đóng cửa” với thế giới, trái lại, Việt Nam đang xây dựng môi trường pháp lý minh bạch, an toàn để hội nhập và thu hút dòng dữ liệu xuyên biên giới một cách có lợi nhất.
Quốc hội khóa XV biểu quyết thông qua Luật Dữ liệu năm 2024 với sự đồng thuận cao, cho thấy quyết tâm lập pháp nhằm hoàn thiện hành lang pháp lý cho chuyển đổi số quốc gia. Luật Dữ liệu đặt ra các nguyên tắc quản lý và bảo vệ dữ liệu trên cơ sở tôn trọng quyền và lợi ích hợp pháp của người dân, đồng thời thúc đẩy khai thác hiệu quả “nguồn tài nguyên dữ liệu” phục vụ phát triển kinh tế - xã hội
Luật Dữ liệu 2024 ra đời là minh chứng hùng hồn cho nỗ lực của Việt Nam trong việc vừa phát triển kinh tế số, vừa bảo vệ chủ quyền số và quyền lợi của Nhân dân. Luật đã quy định rõ ràng quyền, nghĩa vụ, trách nhiệm của các chủ thể trong hệ sinh thái dữ liệu, từ người dân (chủ thể dữ liệu) đến doanh nghiệp (chủ sở hữu dữ liệu) và các bên vận hành kỹ thuật (chủ quản dữ liệu). Hệ thống pháp luật dữ liệu mới mẻ này đảm bảo rằng tài sản dữ liệu được quản lý, khai thác một cách minh bạch, an toàn, có trách nhiệm, đặt quyền riêng tư và lợi ích hợp pháp của người dân làm trọng tâm. Đồng thời, luật cũng mở đường cho việc chuyển hóa dữ liệu thành nguồn lực sản xuất mới, thúc đẩy chuyển đổi số toàn diện và sáng tạo số trong mọi ngành nghề.
Những luận điệu xuyên tạc về Luật Dữ liệu 2024 thực chất chỉ là sự bóp méo, cắt xén nhằm gây hoang mang dư luận, đi ngược lại lợi ích quốc gia và nguyện vọng chính đáng của người dân về một xã hội số văn minh, an toàn. Thực tế thi hành luật sẽ chứng minh rằng pháp luật Việt Nam luôn đề cao và bảo vệ quyền con người trong không gian mạng, đồng thời xử lý nghiêm những ai lợi dụng dữ liệu để xâm hại an ninh, trật tự. Với niềm tin số được xây dựng trên nền tảng Luật Dữ liệu, Việt Nam sẽ vững bước trên con đường chuyển đổi số, tận dụng tối đa “mỏ vàng” dữ liệu phục vụ phát triển đất nước phồn vinh, mà vẫn giữ vững chủ quyền, an ninh quốc gia và các giá trị nhân văn của xã hội. Luật Dữ liệu 2024 chính là tuyên ngôn pháp lý khẳng định chủ quyền số của Việt Nam, bác bỏ mọi luận điệu sai trái, và thể hiện rõ ràng rằng trong Nhà nước pháp quyền Cộng hòa xã hội chủ nghĩa Việt Nam, không một ai được phép đứng ngoài hoặc đứng trên luật pháp, kể cả trong không gian số.
Đỗ Tất Thắng - Phòng An ninh Chính trị Nội bộ - Công an TP Hà Nội
