Luật Bảo vệ dữ liệu cá nhân và vấn đề thực thi - Kinh nghiệm từ một số quốc gia phát triển

Đặt vấn đề

Sự phát triển của kinh tế số và các hệ thống ra quyết định dựa trên dữ liệu đang làm thay đổi cách thức quyền lực được kiến tạo và vận hành trong xã hội hiện đại. Dữ liệu cá nhân không chỉ là thông tin mang tính mô tả cá nhân, mà trở thành nguồn lực tạo lợi thế thông tin cho cơ quan công quyền và doanh nghiệp công nghệ. Trong bối cảnh đó, pháp luật bảo vệ dữ liệu cá nhân nổi lên như một công cụ kiểm soát quyền lực mới, đồng thời là cơ chế bảo đảm quyền con người trong môi trường số.

Luật Bảo vệ dữ liệu cá nhân của Việt Nam được Quốc hội thông qua ngày 26/6/2025 và đã có hiệu lực từ ngày 01/01/2026 đánh dấu lần đầu Việt Nam có một đạo luật toàn diện ở cấp độ luật về bảo vệ dữ liệu cá nhân. Theo quan điểm nghiên cứu thực tiễn, cần tiếp cận đạo luật này dưới góc nhìn “quyền lực dữ liệu”, phân tích những nội dung cơ bản, khả năng của các rủi ro trong thực thi, và đối chiếu với kinh nghiệm của một số quốc gia phát triển để gợi mở định hướng hoàn thiện.

1. Khái quát những nội dung cơ bản của Luật Bảo vệ dữ liệu cá nhân năm 2025 của Việt Nam và các vấn đề có thể phát sinh trong thực thi

Trong bối cảnh chuyển đổi số, pháp luật bảo vệ dữ liệu cá nhân được nhìn nhận không chỉ như một cơ chế bảo vệ quyền riêng tư, mà có thể hiểu là thiết chế pháp lý nhằm tái cấu trúc quan hệ quyền lực giữa nhà nước, thị trường và cá nhân trong không gian dữ liệu. Đây là đạo luật được hoàn thiện kế thừa và nâng cấp từ Nghị định 13/2023/NĐ-CP - việc chuyển từ nghị định sang luật thể hiện sự nâng tầm chính sách, tạo cơ sở pháp lý rõ ràng hơn cho quản trị dữ liệu, thúc đẩy kinh tế số nhưng đồng thời đặt ra yêu cầu cao hơn về tuân thủ và trách nhiệm giải trình.

Những nội dung cơ bản của Luật, gồm: Thứ nhất, đạo luật xác định phạm vi áp dụng rộng, bao gồm tổ chức, cá nhân trong nước và cả chủ thể nước ngoài có liên quan đến việc xử lý dữ liệu của công dân Việt Nam; qua đó tạo nền tảng cho cơ chế bảo vệ dữ liệu có tính xuyên biên giới. Thứ hai, Luật phân loại dữ liệu cá nhân và đặt ra cơ chế bảo vệ chặt chẽ hơn đối với dữ liệu nhạy cảm, đồng thời ghi nhận hệ thống quyền của chủ thể dữ liệu như quyền biết, quyền đồng ý, quyền truy cập, sửa đổi và yêu cầu xóa dữ liệu. Thứ ba, Luật đặt ra các nghĩa vụ tuân thủ mới đối với bên xử lý dữ liệu, bao gồm đánh giá tác động xử lý dữ liệu (Data processing impact assessment - DPIA), bổ nhiệm nhân sự phụ trách bảo vệ dữ liệu và nghĩa vụ thông báo vi phạm. Thứ tư, Luật thiết lập khung chế tài nghiêm khắc, trong đó có mức xử phạt lên tới nhiều lần doanh thu đối với hành vi mua bán dữ liệu trái phép hoặc vi phạm chuyển dữ liệu xuyên biên giới.

Về bản chất, Luật cho thấy sự chuyển đổi từ mô hình “quản lý thông tin” sang mô hình “quản trị rủi ro dữ liệu”. Thay vì chỉ xử lý khi có vi phạm, Luật yêu cầu tổ chức chủ động đánh giá rủi ro, chứng minh tuân thủ và thiết lập cơ chế bảo vệ ngay từ khâu thiết kế (privacy by design). Điều này phản ánh xu thế quản trị hiện đại, trong đó nhà nước không chỉ kiểm soát hậu kiểm mà còn thúc đẩy tự tuân thủ dựa trên trách nhiệm giải trình.

Dù vậy, xét theo chiều hướng phát triển logic, vẫn có thể có các sai sót và rủi ro phát sinh trong giai đoạn đầu thực thi, cụ thể như:

(i) Nguy cơ hình thức hóa sự đồng ý (consent fatigue), khi người dùng thường xuyên phải bấm (click) chấp nhận mà không thực sự hiểu nội dung. Sự mở rộng các cơ chế đồng ý của chủ thể dữ liệu có thể đồng thời tạo ra một nghịch lý pháp lý: càng gia tăng yêu cầu “chấp thuận”, cá nhân càng rơi vào trạng thái “chấp nhận” mang tính hình thức do quá tải thông tin;

(ii) Tuân thủ mang tính hồ sơ, doanh nghiệp tập trung vào giấy tờ hơn là thay đổi quy trình công nghệ;

(iii) Bất cân xứng năng lực giữa cá nhân và các nền tảng số lớn khiến quyền của chủ thể dữ liệu khó được thực thi đầy đủ;

(iv) Khoảng trống điều chỉnh đối với các hệ thống AI sử dụng dữ liệu để suy luận hoặc chấm điểm, trong khi quyền lực thực tế ngày càng nằm ở thuật toán chứ không chỉ ở dữ liệu thô.

Cho thấy, trong môi trường số, quyền lực thực tế không còn nằm ở dữ liệu thô mà nằm ở năng lực suy luận và ra quyết định dựa trên dữ liệu. Vì vậy, phạm vi điều chỉnh của pháp luật tất yếu phải dịch chuyển từ kiểm soát dữ liệu sang kiểm soát thuật toán.

2. Kinh nghiệm từ một số quốc gia phát triển

2.1. Ở Hoa Kỳ

Hoa Kỳ không có một đạo luật liên bang thống nhất tương tự khung pháp lý về bảo vệ dữ liệu cá nhân như của Liên minh EU (GDPR)[1], mà áp dụng mô hình đa tầng gồm luật liên bang theo ngành và luật của các bang. Ví dụ nổi bật là Đạo luật Quyền riêng tư người tiêu dùng California năm 2018 (CCPA)[2], được sửa đổi đáng kể bởi Đạo luật Quyền riêng tư California năm 2020 (CPRA) - thể hiện bằng thuật ngữ “Do Not Sell” (không bán) - một cách tiếp cận hướng đến quyền lợi người tiêu dùng trong việc bảo vệ dữ liệu tại Hoa Kỳ. Nhấn mạnh tính minh bạch và quyền kiểm soát của người dùng khi hoạt động trong khuôn khổ pháp lý liên bang còn rời rạc; trao cho người tiêu dùng quyền biết, quyền xóa và quyền từ chối bán dữ liệu. Điều này cho thấy cơ chế “Do Not Sell” không chỉ là quy định lý thuyết mà là trọng tâm thực thi; phản ánh triết lý quan trọng của luật Hoa Kỳ: không cấm xử lý dữ liệu ngay từ đầu (opt-in như Luật GDPR của Liên minh EU), mà cho phép xử lý trừ khi người tiêu dùng chủ động từ chối (opt-out). Tuy nhiên, nghiên cứu thực nghiệm cho thấy việc triển khai quyền từ chối thường khó tiếp cận do giao diện thiết kế gây cản trở, dẫn đến tỷ lệ thực thi quyền thấp. Bài học rút ra là quyền pháp lý nếu không đi kèm yêu cầu thiết kế rõ ràng có thể bị suy giảm hiệu quả.

Về thực thi, Ủy ban Thương mại Liên bang (Federal Trade Commission - FTC) đóng vai trò quan trọng trong việc xử lý hành vi lừa dối hoặc không bảo vệ dữ liệu đúng cam kết, áp dụng theo Điều 5 của Đạo luật FTC.[3] Các án lệ và thỏa thuận dàn xếp cho thấy cơ chế thực thi linh hoạt nhưng cũng gây ra sự phân mảnh, khiến doanh nghiệp phải tuân thủ nhiều chuẩn mực khác nhau.

Ví dụ, trong thực tế, nhiều website triển khai cơ chế “Do Not Sell” theo cách gián tiếp – cơ chế cho phép người tiêu dùng yêu cầu doanh nghiệp ngừng bán hoặc chia sẻ dữ liệu cá nhân của họ cho bên thứ ba[4] – làm giảm khả năng người dùng thực hiện quyền từ chối bán dữ liệu, qua đó cho thấy khoảng cách giữa quy định và trải nghiệm người dùng.

2.2. Ở Vương quốc Anh[5]

Sau Brexit, Anh duy trì Quy định chung về bảo vệ dữ liệu của Vương quốc Anh (UK General Data Protection Regulation - UK GDPR)[6] và Đạo luật Bảo vệ dữ liệu 2018. Điểm nổi bật của mô hình Anh quốc là vai trò mạnh mẽ của Cơ quan quản lý thông tin (Information Commissioner’s Office – ICO), cơ quan có quyền điều tra, phạt và ban hành hướng dẫn chi tiết. Hệ thống này nhấn mạnh nguyên tắc trách nhiệm giải trình và đánh giá tác động bảo vệ dữ liệu đối với các hoạt động rủi ro cao. Cụ thể, tháng 2 năm 2026, Văn phòng Ủy viên ICO đã phạt Reddit[7] 14,47 triệu bảng Anh vì xử lý trái phép dữ liệu cá nhân của trẻ em, với lý do cơ chế đảm bảo độ tuổi không đầy đủ và không áp dụng cơ chế xác minh tuổi phù hợp (xử lý trái phép dữ liệu trẻ em dưới 13 tuổi). Đồng thời, còn thiếu đánh giá tác động bảo vệ dữ liệu đúng cách, điều này có thể khiến trẻ vị thành niên tiếp xúc với nội dung trực tuyến độc hại. Việc này cho thấy trọng tâm thực thi luật của Vương quốc Anh là bảo vệ nhóm yếu thế và yêu cầu đánh giá rủi ro ngay từ đầu.

2.3. Ở Cộng hòa Pháp[8]

Cộng hoà Pháp vận hành trong khuôn khổ GDPR của Liên minh Châu Âu, với cơ quan chức năng giám sát là Ủy ban Quốc gia về Công nghệ Thông tin và Tự do (Commission Nationale de l’Informatique et des Libertés - CNIL). Mô hình Luật này của Pháp cho thấy sự kết hợp giữa nguyên tắc bảo vệ quyền cơ bản và thực thi nghiêm khắc thông qua các khoản phạt lớn, đặc biệt đối với quảng cáo hành vi và chia sẻ dữ liệu với bên thứ ba. Ví dụ, CNIL đã xử phạt một doanh nghiệp 3,5 triệu euro vì chia sẻ dữ liệu khách hàng cho mạng xã hội phục vụ quảng cáo mà không có sự đồng ý hợp lệ; các vi phạm bao gồm thiếu minh bạch, thiếu DPIA[9] và thực hành lưu trữ dữ liệu trên thiết bị của người dùng (cookie[10]) không đúng chuẩn. Các quyết định như vậy cũng cho thấy yếu tố minh bạch và tính cụ thể của sự đồng ý là trọng tâm của cơ chế thực thi ở Châu Âu.

2.4. Ở Nhật Bản

Nhật Bản ban hành Luật Bảo vệ thông tin cá nhân năm 2003, sửa đổi năm 2020 (Law on Protection of Personal Information - APPI)[11], được sửa đổi nhiều lần để tăng tương thích với GDPR của Liên minh Châu Âu và thúc đẩy luồng dữ liệu xuyên biên giới. Mô hình Luật này tại Nhật Bản nhấn mạnh cân bằng giữa đổi mới và bảo vệ quyền, sử dụng cơ chế hướng dẫn mềm (soft law) kết hợp với yêu cầu bảo mật kỹ thuật. APPI cũng chú trọng quy định về chuyển dữ liệu ra nước ngoài và nghĩa vụ thông báo vi phạm.

Ví dụ, các doanh nghiệp tại Nhật phải áp dụng biện pháp bảo đảm khi chuyển dữ liệu ra nước ngoài hoặc chứng minh quốc gia nhận có mức bảo vệ tương đương, qua đó tạo cơ chế kiểm soát rủi ro nhưng vẫn duy trì khả năng tham gia chuỗi cung ứng dữ liệu toàn cầu.

Trong môi trường số, quyền lực thực tế không còn nằm ở dữ liệu thô mà nằm ở năng lực suy luận và ra quyết định dựa trên dữ liệu; vì vậy, phạm vi điều chỉnh của pháp luật tất yếu phải dịch chuyển từ kiểm soát dữ liệu sang kiểm soát thuật toán. Sự khác biệt giữa các mô hình pháp luật dữ liệu tại Hoa Kỳ, Châu Âu và Nhật Bản đã chứng tỏ bảo vệ dữ liệu cá nhân không đơn thuần là vấn đề kỹ thuật lập pháp, mà phản ánh những lựa chọn khác nhau về triết lý kiểm soát quyền lực trong xã hội số.

3. Một số kinh nghiệm tham khảo cho Việt Nam trong giai đoạn tới

(i) Tăng cường thực thi và năng lực cơ quan giám sát: Kinh nghiệm từ Anh và Pháp cho thấy hiệu quả của pháp luật phụ thuộc mạnh vào năng lực của cơ quan giám sát. Việt Nam cần phát triển mạnh đối với đội ngũ chuyên môn về công nghệ dữ liệu, điều tra kỹ thuật số và đánh giá thuật toán, đồng thời xây dựng hướng dẫn thực thi chi tiết để giảm cách hiểu không thống nhất.

(ii) Thiết kế quyền của chủ thể dữ liệu theo hướng dễ thực thi: Kinh nghiệm từ Hoa Kỳ chỉ ra rằng, quyền pháp lý có thể bị vô hiệu hóa bởi thiết kế giao diện. Do đó, Việt Nam cần hướng tới tiêu chuẩn hóa giao diện xin đồng ý, cơ chế rút lại đồng ý và yêu cầu ngôn ngữ đơn giản, tránh tình trạng quyền tồn tại trên giấy nhưng khó sử dụng.

(iii) Chú trọng minh bạch và trách nhiệm giải trình: Mô hình EU nhấn mạnh tính minh bạch, đánh giá tác động bảo vệ dữ liệu theo Điều 35 DPIA[12], với ý nghĩa: không phải xử lý vi phạm sau khi xảy ra, mà cần quản trị rủi ro dữ liệu từ trước (risk-based approach). Đây không chỉ là một thủ tục kỹ thuật, mà là cơ chế buộc doanh nghiệp phải tự chịu trách nhiệm (accountability mechanism) và trách nhiệm giải trình. Việt Nam có thể tham khảo cơ chế kiểm tra định kỳ đối với hoạt động xử lý dữ liệu có rủi ro cao, đặc biệt là quảng cáo hành vi, chấm điểm tín dụng hoặc xử lý dữ liệu trẻ em.

(iv) Quản trị dữ liệu xuyên biên giới và hợp tác quốc tế: Trong bối cảnh dữ liệu lưu chuyển toàn cầu, kinh nghiệm của Nhật Bản cho thấy cần thiết lập cơ chế đánh giá quốc gia nhận dữ liệu, thỏa thuận tiêu chuẩn và công nhận tương đương. Điều này giúp bảo vệ dữ liệu công dân nhưng không cản trở hoạt động kinh doanh số và đầu tư quốc tế.

(v) Mở rộng trọng tâm từ dữ liệu sang thuật toán: Một xu hướng chung ở các quốc gia phát triển là chuyển từ kiểm soát dữ liệu sang kiểm soát quyết định tự động. Việt Nam nên từng bước bổ sung cơ chế đánh giá tác động thuật toán, quyền yêu cầu giải thích quyết định tự động và các chuẩn mực đạo đức AI để giảm nguy cơ hình thành quyền lực dữ liệu mất cân đối.

Kết luận

Luật Bảo vệ dữ liệu cá nhân của Việt Nam là bước ngoặt trong quá trình xây dựng Nhà nước pháp quyền số, thể hiện sự chuyển dịch từ tư duy quản lý thông tin sang quản trị quyền lực dữ liệu. Tuy nhiên, kinh nghiệm quốc tế cho thấy thách thức lớn nhất không phải là ban hành quy định mà là bảo đảm thực thi hiệu quả, biến các quyền pháp lý thành quyền năng thực tế của cá nhân. Hoa Kỳ cho thấy rủi ro của mô hình phân mảnh và thiết kế quyền khó tiếp cận; Anh và Pháp minh chứng cho vai trò quyết định của cơ quan giám sát và chế tài mạnh; Nhật Bản cung cấp bài học về cân bằng giữa bảo vệ và đổi mới. Với Việt Nam, giai đoạn tiếp theo cần tập trung vào năng lực thực thi, chuẩn hóa quy trình tuân thủ, bảo đảm minh bạch và mở rộng phạm vi điều chỉnh sang các hệ thống thuật toán. Như vậy, pháp luật bảo vệ dữ liệu cá nhân thực sự trở thành công cụ kiểm soát quyền lực dữ liệu, góp phần củng cố nền tảng của Nhà nước pháp quyền trong kỷ nguyên số.

TS. HOÀNG MINH KHÔI (Phân hiệu Học viện hành chính và Quản trị công TP. HCM)

Tài liệu tham khảo

1. Chính phủ Việt Nam. (2025). Quyết định số 2623/QĐ-TTg ngày 29 tháng 11 năm 2025 về Kế hoạch triển khai thi hành Luật Bảo vệ dữ liệu cá nhân.

2. EY Vietnam. (2025, July 8). Legal alert: Personal data protection law.

3. California Legislative Information (Official statute text)
https://leginfo.legislature.ca.gov

4. California Attorney General – CCPA guidance
https://oag.ca.gov/privacy/ccpa

5. Japan. (n.d.). Act on the Protection of Personal Information (APPI) (as amended). https://www.ppc.go.jp/en/legal/

6. KPMG Vietnam. (2025, June 26). Vietnam’s new personal data protection law.

7. O’Connor, Y., et al. (2020). (Un)clear and (In)conspicuous: The right to opt-out of sale under CCPA. arXiv. https://arxiv.org

8. Reuters. (2026). UK ICO fine against Reddit over children’s data.

9. UK Information Commissioner’s Office (ICO). (n.d.). Enforcement actions.

10. Commission Nationale de l’Informatique et des Libertés (CNIL). (n.d.). Enforcement decisions concerning consent, advertising, and data-sharing practices under the GDPR.

11. Các nguồn pháp lý và quy định chính thức đã tham khảo tại các website FTC (Mỹ), ICO (Anh), CNIL (Pháp), PPC (Nhật Bản).

---