1. Dẫn nhập
Trong bối cảnh chuyển đổi số và cách mạng khoa học công nghệ 4.0 đã tác động lớn đến các nước, Việt Nam đã đạt được nhiều thành tựu quan trọng trong xây dựng Chính phủ điện tử. Báo cáo về tình hình chuyển đổi số quốc gia năm 2024 của Bộ thông tin và truyền thông cho thấy Việt Nam đã vươn lên vị trí thứ 71/193 quốc gia trong bảng xếp hạng Chính phủ điện tử của Liên Hợp Quốc (công bố tháng 9/2024), tăng 15 bậc so với 2022. Đây là lần đầu tiên Việt Nam được xếp vào nhóm quốc gia có chỉ số phát triển chính phủ điện tử (EGDI) ở mức “Rất cao” [1].
Bên cạnh những thành tựu nổi bật, vấn đề bảo vệ dữ liệu cá nhân lại đang trở thành một trong những thách thức lớn đặt ra trong quá trình chuyển đổi số tại Việt Nam. Thực tế cho thấy, công ty VNG để lộ hơn 163 triệu tài khoản khách hàng; Công ty Thế giới di động và Điện máy xanh để lộ hơn 5 triệu email và hàng chục nghìn thông tin thẻ thanh toán của khách hàng (visa, thẻ tín dụng). Hay như việc tin tặc tấn công vào hệ thống máy chủ của Việt Nam Airlines, đăng tải lên internet 411.000 tài khoản khách hàng thành viên của chương trình Bông Sen Vàng. Ngoài ra, các công ty môi giới dịch vụ taxi sử dụng thông tin của khách hàng bị lộ để mời chào dịch vụ qua tin nhắn SMS... [2]. Không những vậy, tình trạng mua bán dữ liệu cá nhân cũng đang diễn ra rất phổ biến, bao gồm cả dữ liệu thô lẫn dữ liệu đã qua xử lý. Về phía người dùng, do hạn chế trong nhận thức bảo mật dữ liệu, không ít trường hợp người dùng tự đăng tải công khai hoặc vô tình để rò rỉ thông tin khi tham gia nền tảng trực tuyến. Thực tế này phản ánh một bức tranh đáng lo ngại về an toàn dữ liệu cá nhân.
Thực trạng vi phạm dữ liệu cá nhân đã cho thấy tính cấp thiết của việc hoàn thiện khung pháp lý nhằm bảo đảm quyền riêng tư của công dân. Ngày 26/06/2025, Quốc hội thông qua Luật bảo vệ dữ liệu cá nhân số 91/2025/QH15, sẽ có hiệu lực từ 01/01/2026. Luật này bổ sung, mở rộng và nâng cấp khung pháp lý do Nghị định 13/2023/NĐ-CP đặt nền móng, nhằm đáp ứng những thách thức mới từ công nghệ. Luật quy định các nguyên tắc, quyền và nghĩa vụ của chủ thể dữ liệu cá nhân, cũng như trách nhiệm của các tổ chức, cá nhân xử lý, kiểm soát dữ liệu cá nhân. Đây là hành lang pháp lý quan trọng nhằm quy định chặt chẽ các nghĩa vụ bảo vệ dữ liệu đối với các hoạt động xử lý dữ liệu cá nhân trong không gian mạng tại Việt Nam.
Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15 không chỉ thể hiện nỗ lực nội luật hóa các chuẩn mực quốc tế, mà còn phản ánh tinh thần của Công ước Liên Hợp Quốc về chống tội phạm mạng (Công ước Hà Nội). Theo Điều 64, Công ước quốc tế về tội phạm mạng của Liên Hợp Quốc: “Công ước này sẽ được mở cho tất cả các quốc gia ký kết tại Hà Nội vào năm 2025 và sau đó tại Trụ sở Liên hợp quốc ở New York cho đến ngày 31 tháng 12 năm 2026” [3]. Việt Nam sẽ đăng cai lễ mở ký Công ước Liên hợp quốc về chống tội phạm mạng vào ngày 25-26/10/2025 tại Hà Nội, một sự kiện mang tính lịch sử thể hiện quyết tâm của cộng đồng quốc tế trong việc chung tay xây dựng khung pháp lý bảo vệ không gian số an toàn [4]. Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15 và Công ước Liên Hợp Quốc về chống tội phạm mạng đều cho thấy tính cấp thiết của việc hoàn thiện chính sách bảo vệ dữ liệu cá nhân của các quốc gia nói chung và Việt Nam nói riêng.
Bài viết này tập trung đánh giá tác động của chính sách bảo vệ dữ liệu cá nhân, từ đó thảo luận về tính hiệu quả của khung pháp lý hiện hành trong bảo vệ dữ liệu cá nhân trước bối cảnh chuyển đổi số.
2.Lý luận về dữ liệu cá nhân
Dữ liệu cá nhân là khái niệm được đề cập trong Quy định chung về quản lý dữ liệu cá nhân của Liên minh châu Âu (EU GDPR 2016). Điều 4 GDPR (General Data Protection Regulation) của Liên minh châu Âu quy định: “Dữ liệu cá nhân là bất kỳ thông tin nào liên quan đến một cá nhân đã được xác định hoặc có thể xác định được (chủ thể dữ liệu); một cá nhân có thể xác định được là người có thể được xác định, trực tiếp hoặc gián tiếp, đặc biệt là bằng cách tham chiếu đến một mã định danh như tên, số nhận dạng, dữ liệu vị trí, mã định danh trực tuyến hoặc một hoặc nhiều yếu tố cụ thể đối với bản sắc thể chất, sinh lý, di truyền, tinh thần, kinh tế, văn hóa hoặc xã hội của cá nhân đó” [5]. Cũng với ý nghĩa tương tự, Việt Nam đề cập tới khái niệm “Dữ liệu cá nhân” tại Điều 2 Luật số 91/2025/QH15: “Dữ liệu cá nhân là dữ liệu số hoặc thông tin dưới dạng khác xác định hoặc giúp xác định một con người cụ thể, bao gồm: dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm. Dữ liệu cá nhân sau khi khử nhận dạng không còn là dữ liệu cá nhân”[6].
3.Các quy định về bảo vệ dữ liệu cá nhân trên Thế Giới
Liên minh châu Âu
Quy định bảo vệ dữ liệu chung (General Data Protection Regulation - GDPR) được Liên minh Châu Âu (EU) ban hành năm 2016 và có hiệu lực từ năm 2018, là khung pháp lý toàn diện và nghiêm ngặt nhất thế giới về bảo vệ dữ liệu cá nhân. GDPR áp dụng cho tất cả 27 quốc gia thành viên EU và các công ty toàn cầu xử lý dữ liệu của công dân EU, bất kể trụ sở của họ ở đâu [7] Đồng thời, xác lập quyền mạnh mẽ cho cá nhân: Quyền truy cập (Right of Access); Quyền xóa bỏ (Right to Erasure/Right to be Forgotten); Quyền chuyển dữ liệu (Data Portabilitiy); Quyền phản đối (Right to Object) và nguyên tắc trách nhiệm giải trình với các chế tài nặng (phạt tới 4% doanh thu toàn cầu) [8]. GDPR cũng định vị vai trò cơ quan giám sát độc lập và cơ chế hợp tác xuyên biên giới giữa các cơ quan này. Quy định này cũng đặt ra nghĩa vụ cho những người kiểm soát (những người chịu trách nhiệm xử lý dữ liệu) phải cung cấp thông tin minh bạch và dễ tiếp cận cho cá nhân về quá trình xử lý dữ liệu của họ. EU luôn tập trung lấy quyền cá nhân làm trung tâm - một số nguyên tắc được vận dụng trong Luật 91/2025 của Quốc hội như đồng ý của chủ thể dữ liệu, quyền tiếp cận/chỉnh sửa/xóa bỏ, nghĩa vụ minh bạch chịu ảnh hưởng rõ rệt từ GDPR (General Data Protection Regulation).
Trung Quốc
Luật bảo vệ thông tin cá nhân (Personal Information Protection Law - PIPL) là một quy định toàn diện quản lý việc xử lý thông tin cá nhân của các tổ chức tại Trung Quốc. Quy định này nhằm bảo vệ quyền riêng tư dữ liệu của cá nhân và thúc đẩy việc xử lý dữ liệu cá nhân có trách nhiệm. Quy định này yêu cầu tính minh bạch, sự đồng ý và trách nhiệm giải trình trong các hoạt động xử lý dữ liệu và áp đặt các yêu cầu nghiêm ngặt đối với các tổ chức để đảm bảo việc xử lý thông tin cá nhân hợp pháp, an toàn. Tại điều 44 quy định: “Cá nhân có quyền biết và quyết định về việc xử lý thông tin cá nhân của mình, có quyền hạn chế hoặc từ chối người khác xử lý thông tin cá nhân của mình, trừ trường hợp pháp luật và quy định hành chính có quy định khác” [9].
Hoa Kỳ
Tại Hoa Kỳ, các quy định về bảo vệ dữ liệu cá nhân được phân mảnh theo ngành như HIPAA (Health Insurance Portability and Accountability Act; GLBA (Gramm Leach Bliley Act); COPPA (Children’s Online Privacy Protection Act) và theo quy định riêng của từng tiểu bang. Điều này tạo ra một môi trường pháp lý phức tạp, nơi việc mua bán dữ liệu cá nhân vẫn diễn ra phổ biến, đặc biệt trong lĩnh vực quảng cáo trực tuyến. Các đạo luật Đạo luật Quyền riêng tư của Người tiêu dùng California (CCPA, 2018); Đạo luật Quyền riêng tư California (CPRA, 2020). Các luật này trao cho người dân quyền kiểm soát dữ liệu của mình, bao gồm quyền từ chối việc bán dữ liệu cá nhân [8]. Mô hình tạo nên sự linh hoạt nhưng gây phức tạp pháp lý cho tổ chức hoạt động liên bang /đa quốc gia.
4.Chính sách bảo vệ dữ liệu cá nhân tại Việt Nam
Trước những thay đổi theo hướng tăng cường thực thi pháp luật về bảo vệ dữ liệu cá nhân của một số quốc gia trên thế giới và ảnh hưởng của chuyển đổi số, Chính phủ Việt Nam đã từng bước xây dựng và hoàn thiện khung pháp lý về bảo vệ dữ liệu cá nhân nhằm đáp ứng yêu cầu thực tiễn. Nghị định số 13/2023/NĐ-CP ngày 17/4/2023 của Chính phủ là chính sách có tính hệ thống quy định cụ thể về nguyên tắc, quyền, nghĩa vụ và trách nhiệm của các chủ thể trong việc xử lý dữ liệu cá nhân, có hiệu lực từ ngày 01/7/2023 [10].
Ngày 26/06/2025, Quốc hội thông quaLuật Bảo vệ dữ liệu cá nhân số 91/2025/QH15, có hiệu lực từ ngày 01/01/2026 với mục tiêu hoàn thiện khung pháp lý bảo vệ dữ liệu cá nhân, nâng cao năng lực bảo vệ dữ liệu cá nhân trong nước, đảm bảo an ninh, trật tự, chủ quyền dữ liệu quốc gia đồng thời thúc đẩy phát triển kinh tế số.
Điều 1 cho thấy phạm vi điều chỉnh của Luật là quy định về dữ liệu cá nhân, bảo vệ dữ liệu cá nhân và quyền, nghĩa vụ, trách nhiệm của cơ quan, tổ chức, cá nhân có liên quan. Cũng trong Điều này,các đối tượng áp dụng của Luật được chỉ ra gồm có: “a) Cơ quan, tổ chức, cá nhân Việt Nam; b) Cơ quan, tổ chức, cá nhân nước ngoài tại Việt Nam; c) Cơ quan, tổ chức, cá nhân nước ngoài trực tiếp tham gia hoặc có liên quan đến hoạt động xử lý dữ liệu cá nhân của công dân Việt Nam và người gốc Việt Nam chưa xác định được quốc tịch đang sinh sống tại Việt Nam đã được cấp giấy chứng nhận căn cước”.
Tại Điều 36, Luật quy định rõ trách nhiệm quản lý nhà nước về bảo vệ dữ liệu cá nhân “Chính phủ thống nhất thực hiện quản lý nhà nước về bảo vệ dữ liệu cá nhân; Bộ Công an là cơ quan đầu mối chịu trách nhiệm trước Chính phủ thực hiện quản lý nhà nước về bảo vệ dữ liệu cá nhân, trừ nội dung thuộc phạm vi quản lý của Bộ Quốc phòng; Bộ Quốc phòng chịu trách nhiệm trước Chính phủ thực hiện quản lý nhà nước về bảo vệ dữ liệu cá nhân thuộc phạm vi quản lý; Bộ, cơ quan ngang Bộ, cơ quan thuộc Chính phủ thực hiện quản lý nhà nước về bảo vệ dữ liệu cá nhân đối với các ngành, lĩnh vực thuộc phạm vi quản lý theo quy định của pháp luật và chức năng, nhiệm vụ được giao; Ủy ban nhân dân cấp tỉnh thực hiện quản lý nhà nước về bảo vệ dữ liệu cá nhân theo quy định của pháp luật và chức năng, nhiệm vụ được giao” [6].
5.Đánh giá tác động của Luậtbảo vệ dữ liệu cá nhân số 91/2025/QH15
5.1.Tác động dương tính
Đối với cá nhân (người trực tiếp chịu tác động từ chính sách), việc kiểm soát dữ liệu đã được chủ động hơn: Được biết về hoạt động xử lý dữ liệu cá nhân; Đồng ý hoặc không đồng ý, yêu cầu rút lại sự đồng ý cho phép xử lý dữ liệu cá nhân; Xem, chỉnh sửa hoặc yêu cầu chỉnh sửa dữ liệu cá nhân; Yêu cầu cung cấp, xóa, hạn chế xử lý dữ liệu cá nhân; gửi yêu cầu phản đối xử lý dữ liệu cá nhân; Khiếu nại, tổ cáo, khởi kiện, yêu cầu bồi thường thiệt hại theo quy định của pháp luật; Yêu cầu cơ quan có thẩm quyền hoặc cơ quan, tổ chức, cá nhân liên quan đến xử lý dữ liệu cá nhân thực hiện các biện pháp, giải pháp bảo vệ dữ liệu cá nhân của mình theo quy định của pháp luật (Điều 4).
Đối với doanh nghiệp, việc luật hóa không chỉ tăng tính ràng buộc pháp lý mà còn tạo sự ổn định và lâu dài trong triển khai, có ảnh hưởng rất lớn tới hoạt động của doanh nghiệp trong và ngoài nước.
Đối với nhà nước là sự đồng bộ với xu thế toàn cầu hóa được quy định tại Điều 36 về trách nhiệm quản lý nhà nước về bảo vệ dữ liệu cá nhân từ đó khắc phục tình trạng mất, rò rỉ dữ liệu cá nhân đồng thời khẳng định vai trò, trách nhiệm của nhà nước đối với vấn đề bảo vệ dữ liệu cá nhân.
5.2.Tác động âm tính
Luật số 91/2025/QH15 đã giúp thống nhất hơn nhưng cần được rà soát, kiểm tra khả năng chồng chéo với các luật chuyên ngành (y tế, ngân hàng, an ninh). Cơ quan quản lý khó phối hợp thanh tra vì các chức năng đang được giao cho nhiều cơ quan hành chính, tính độc lập chưa rõ ràng.Mô hình của Liên minh châu Âu ví dụ như cơ quan bảo vệ dữ liệu độc lập (Data Protection Authorities - DPA) và Hội đồng bảo vệ dữ liệu Châu Âu (European Data Protection Board - EDPB). Các cơ quan này hoạt động độc lập với Chính phủ và các bộ, ngành, có nhiệm vụ giám sát việc tuân thủ pháp luật về bảo vệ dữ liệu cá nhân của cả khu vực công lẫn tư nhân, bảo đảm quyền riêng tư và tự do cá nhân được bảo vệ khách quan, minh bạch [5]. Tại Việt Nam, các chức năng như giám sát, kiểm tra, xử phạt, bảo vệ quyền cá nhânđang được giao cho nhiều cơ quan hành chính. Điều 33 của Luật quy định rằng: “Lực lượng bảo vệ dữ liệu cá nhân gồm: a) Cơ quan chuyên trách bảo vệ dữ liệu cá nhân thuộc Bộ Công an; b) Bộ phận, nhân sự bảo vệ dữ liệu cá nhân trong cơ quan, tổ chức; c) Tổ chức, cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân; d) Tổ chức, cá nhân được huy động tham gia bảo vệ dữ liệu cá nhân” [6], song chưa quy định cụ thể bên thứ ba giám sát này là cơ quan nào, có độc lập để giám sát hay không?Việc thiếu vắng một cơ quan giám sát độc lập có thể dẫn tới hạn chế trong việc thực thi. Bên cạnh đó, các doanh nghiệp cũng có thể bối rối khi xác định nghĩa vụ.
Ngoài ra, sự khác biệt nội hàm giữa khái niệm “Dữ liệu cá nhân” và “Thông tin cá nhân” chưa được làm rõ. Dữ liệu cá nhân (Personal Data) được hiểu là thông tin ở dạng ký hiệu mà máy tính có thể đọc và xử lý được, do một cá nhân tạo ra và cho phép nhận dạng cá nhân đó. Trong khi đó,Khoản 13 Điều 3 Nghị định số 52/2013/NĐ-CP: Thông tin cá nhân là các thông tin góp phần định danh một cá nhân cụ thể, bao gồm tên, tuổi, địa chỉ nhà riêng, số điện thoại, thông tin y tế, số tài khoản, thông tin về các giao dịch thanh toán cá nhân và những thông tin khác mà cá nhân mong muốn giữ bí mật [11]. Thông tin cá nhân trong Nghị định này không bao gồm thông tin liên hệ công việc và những thông tin mà cá nhân đã tự công bố trên các phương tiện truyền thông. Khoảng mờ pháp lý có thể khiến một số tổ chức thu thập, phân tích dữ liệu người dùng quá mức nhưng vẫn không xâm phạm thông tin cá nhân theo cách hiểu hẹp [12].
5.3. Tác động ngoại biên
Ngoại biên tích cực: Ảnh tưởng của các nền tảng công nghệ mới đã giúp thúc đẩy ngành công nghệ bảo mật, an ninh mạng trong nước phát triển.Khi khung pháp lý nội địa tiếp cận gần hơn với chuẩn mực quốc tế như GDPR (General Data Protection Regulation), Việt Nam có cơ hội mở rộng hợp tác dữ liệu xuyên biên giới, tạo điều kiện thuận lợi cho đầu tư, xuất khẩu dịch vụ số, đặc biệt trong bối cảnh kinh tế số phát triển mạnh.
Ngoại biên tiêu cực: Tiềm ẩn nguy cơcá nhân hoặc doanh nghiệp sử dụng dịch vụ nước ngoài để tránh quy định, dẫn tới tình trạng lách luật hoặc hợp thức hóa vi phạm. Đồng thời, do thiếu một cơ quan độc lập chuyên trách, một số tổ chức có thể chỉ làmtrên giấy để hợp thức hóa việc tuân thủ, không thực sự bảo vệ người dùng, dẫn đến hình thức chủ nghĩa và phá vỡ mục tiêu chính sách.
6. Kết luận
Thực trạng vi phạm pháp luật về dữ liệu cá nhân nhạy cảm đang diễn ra phức tạp, gây nhiều hệ lụy cho xã hội, quyền và lợi ích hợp pháp của tổ chức, cá nhân. Do đó, cần phải thực hiện các biện pháp cấp thiết, hệ thống lại các văn bản pháp luật tránh tình trạng chồng chéo khó khăn trong công tác thi hành, đảm bảo đồng nhất giữa văn bản và quá trình thực thi điều này đặt ra yêu cầu cần thiết lập một cơ quan độc lập chuyên trách để đảm đảm quyền riêng tư và tự do cá nhân được bảo vệ khách quan, minh bạch. Việc bảo vệ dữ liệu cá nhân là cấp thiết, quan trọngvà là một điểm nhấn phản ánh quan điểm lập pháp và trình độ lập pháp ở Việt Nam hiện nay.
Tài liệu tham khảo
[1] Hà Văn, “Kinh tế số Việt Nam tăng trưởng nhanh nhất khu vực”, Báo Điện tử Chính phủ (06/02/2025).
[2] Tuyết Phan, “Bộ Công an: Thế giới di động, VNG để lộ hàng triệu thông tin khách hàng”, Báo Thanh Niên(02/03/2024).
[3] United Nations Office on Drugs and Crime “United Nations Convention against Cybercrime”
[4] Vietnam+, “Bước ngoặt toàn cầu trong cuộc chiến chống tội phạm mạng và vai trò tiên phong của Việt Nam” (24/10/2025)
[5] Regulation (EU) 2016/679 of The European Parliament and of The Council (General Data Protection Regulation).
[6] Luật số: 91/2025/QH15 của Chính phủ về “Bảo vệ dữ liệu cá nhân” (26/06/2025).
[7] WordPress Vietnam Forum, “GDPR Là Gì? Những Gì Cần Biết Về GDPR”, 2025.
[8] “Khung pháp lý và cách các quốc gia xử lý việc mua bán dữ liệu cá nhân", Tạp chí pháp lý
[9] “Personal Information Protection Law of the People’s Republic of China (PIPL)”, Accessible Law, 2022.
[10] Nghị định số 13/2023/NĐ-CP của Chính phủ về “Bảo vệ dữ liệu cá nhân” (17/04/2023)
[11] Nghị định số 52/2013/NĐ-CP của Chính phủ: Về thương mại điện tử (16/5/2013)
[12] Bạch Thị Nhã Nam, “xây dựng khái niệm dữ liệu cá nhân trong pháp luật Việt Nam tham chiếu kinh nghiệm của Liên minh châu Âu”, Scholar DNU.